La cybersécurité : la (dernière ?) priorité pour les entreprises

Après un premier épisode consacré à la cybersécurité chez les particuliers, nous vous proposons d’aller un cran plus loin, du côté des entreprises…
Blackfoot io nous présente sa vision d’une cybersécurité « open » et préconise de jouer franc-jeu avec les entreprises, les salariés et les équipes. Montrer que les entreprises sont « hackables » pour… corriger et sensibiliser.

Comment les entreprises gèrent la cybersécurité aujourd’hui ? Et comment devraient-elles la gérer ?

Les entreprises ont tendance à penser à la cybersécurité à posteriori ou quand il est trop tard. On constate parfois que leurs processus ne sont pas audités voire que certains collaborateurs se transmettent des mots de passe par e-mail, etc. Ce n’est pas nécessairement de leur ressort, ils ne sont pas toujours équipés comme il faut.

La stratégie de cybersécurité est abordée différemment selon la nature de l’entreprise et son secteur. Une société qui n’est pas dans la tech mais qui possède des comptes utilisateurs sur son site internet doit mettre en place des protections cybersécurité.
Pour une entreprise tech, c’est encore plus crucial. Or, certains acteurs conçoivent des sites internet pour ces entreprises sans se poser la question de la sécurité au moment de sa livraison. Par exemple, certains sites stockent directement les mots de passe utilisateurs. Si lorsque vous oubliez votre mot de passe et en redemandez un et que le site internet vous renvoie l’ancien, désinscrivez-vous !
D’ailleurs, le RGPD (Règlement général sur la protection des données) interdit la conservation de mots de passe d’utilisateurs en clair, c’est à dire sans les chiffrer. Merci l’Europe !

Pour une entreprise qui n’a pas d’utilisateurs externes, la cybersécurité reste importante. Un hacker peut pirater des données en interne ou les logiciels, plutôt que de pirater les ordinateurs. Il peut également connecter une clé USB malicieuse, même si de plus en plus d’entreprises font attention à ce risque.
Il faut également être vigilant quant à l’espionnage industriel. Cas pratique : un ordinateur déverrouillé, même pas besoin d’être un hacker pour s’y servir en fichiers, mots de passe et credentials avec une clef USB et ce en quelques secondes.
Avec la cybersécurité professionnelle, il faut être encore plus rigoureux que dans sa vie personnelle car on peut mettre en danger d’autres personnes.

Quels sont les cas les plus connus d’entreprises qui ont connu des problèmes cybersécurité ?

En 2017, les ordinateurs de nombreux géants industriels et entités gouvernementales ont cessé de fonctionner. La cause ? Ils n’avaient pas mis à jour leur version de Windows alors que le ransomware “Wanna Cry”, sévissait alors au niveau mondial. Heureusement, ce logiciel malveillant était de mauvaise qualité, mal codé. Au final, un chercheur, sans faire exprès, a pu arrêter ce virus…
La leçon ? Il faut mettre à jour ses logiciels et son ordinateur, que ce soit personnellement ou professionnellement. Des milliers de gens travaillent quotidiennement pour créer ces mises à jour. Qui le plus souvent sont en fait des patchs de sécurité.
Cependant, pour les entreprises, ce n’est pas toujours aisé de mettre à jour son parc informatique. En général, les Directeurs des Systèmes informatiques (DSI) ne sont pas écoutés et suivis par leur Direction sur ces sujets. Or, il ne faut pas commencer à penser à la cybersécurité quand il y a des problèmes et des failles.

Un réflexe de hacker ?

En tant qu’hacker, la première chose que je fais quand je vais sur un site internet, ce n’est pas de chercher les mots de passe, je regarde quel type et quelle version de logiciel est utilisée. Ensuite, je vérifie si pour ces versions de logiciel, il existe des failles connues. En faisant cela, on comprend très vite qu’il faut régulièrement mettre à jour les logiciels.

Que change le RGPD à ce sujet ?

Le RGPD c’est super ! Cela permet de mettre la responsabilité de la cybersécurité sur les entreprises. Elles doivent s’assurer de leur cybersécurité et donc de celle de leurs utilisateurs. Avec la mise en place d’audits par exemple.
Avec le RGPD, le problème a été abordé sous l’angle des concepteurs et des fournisseurs de sites internet. Elle protège les individus. On peut donc désormais éviter ce qui s’est passé aux Etats-Unis où un fournisseur d’assurances-vie a vu les mots de passe de ses 100 millions de clients être partagés publiquement… Mais cela n’a eu aucune conséquence juridique pour l’entreprise… En Europe, le RGPD protège les Européens et ce, même en dehors du territoire européen.

Le principal danger : la non-vigilance des citoyens ?

De plus en plus de gens ne font pas attention à leur vie privée. D’autres affirment n’avoir “rien à cacher !”. Pourtant, ce sont souvent ces derniers qui s’offusquent lorsque leurs données personnelles se retrouvent publiques.
Un homme politique américain, à la question « Pourquoi pensez-vous que le gouvernement doive espionner ses citoyens ? » avait répondu : « Moi, je n’ai rien à cacher. Si vous avez quelque chose à cacher, c’est votre problème ! ». Quelques jours après, le New York Times a publié un article qui détaillait sa vie personnelle à partir de données publiques : le nom de sa fille, son école, etc. Plus tendancieux, les historiques de films pornographiques de certains sénateurs ont aussi été publiés…

Dans un autre genre, une chaîne de cafés japonaise, présente aux US, permet à ses clients de commander des boissons en échange de données personnelles. Il y a deux types de réactions à cela : “Ceux qui boivent du café là-bas sont des imbéciles” et “Si je vais dans ce café, je peux commander gratuitement !”. Quand on rentre dans le détail, les gens comprennent ce que ça veut dire de partager ses données personnelles. C’est-à-dire qu’il y a quelqu’un à l’entrée de ce café qui t’attend et qui te dit : “Si tu veux rentrer boire un verre, tu dois me donner ton téléphone et je peux en faire ce que je veux pendant 10 minutes”. Evidemment, personne ne va acheter un nouveau téléphone vide juste pour aller boire un café !

Ce modèle n’est peut-être pas viable économiquement, mais c’est un peu ce que l’on fait – de façon simplifiée – en ce moment avec nos vies privées.

Quelle est votre offre chez BlackFoot.io autour de la cybersécurité ?

Notre objectif est de changer de paradigme. La plupart du temps, la sécurité informatique se fait « dans le dos ». Il y a d’un côté les développeurs qui bossent et de l’autre les patrons qui commandent un audit de sécurité. Les rapports de sécurité ou les audits sont souvent faits sans que les employés soient informés. Cela génère énormément de frustration. Aussi bien chez les hackers qui voient souvent leurs préconisations ne pas être mises en place, que chez les employés qui se sentent lésés.
Il y a une sorte de honte dans les entreprises. On ne veut pas montrer ses failles, or ces failles font partie de la vie, du monde réel. Même un site internet est parfait aujourd’hui, il pourra rencontrer des problèmes dans 2 mois. Il faut le savoir, le montrer et l’assumer.
Il faut bien comprendre que des personnes passent leur vie à travailler sur la cybersécurité. De la même manière qu’un prix Nobel de physique, c’est quelqu’un qui a travaillé toute sa vie sur la physique. C’est pareil dans notre domaine : des hackers passent leur vie à chercher des failles : quand ils cherchent, ils trouvent. Le plus important, c’est de savoir se protéger, pas de vouloir être un grand spécialiste de ce domaine.

On parle souvent d’open-innovation et d’open-source, chez Blackfoot.io, nous voulons aussi ouvrir la cybersécurité. Pour répondre à ces enjeux, nous avons créé 3 offres : « Human », « Tools » et « Innovate ».

1. « Human » : Aider les entreprises à améliorer le potentiel et les compétences de leurs développeurs.

Nous venons dans votre entreprise avec des hackers – parmi les meilleurs de France – et nous vous hackons, devant tout le monde. Nous mettons ensuite ces hackers dans une salle pendant 2 jours pour qu’ils analysent toutes les failles de sécurité. C’est la meilleure façon de sensibiliser au fait qu’il y ait des vulnérabilités dans les codes des développeurs.
Après avoir détecté les failles, nous proposons aux entreprises une formation pour permettre aux employés – aux développeurs en particulier – de les comprendre. Nous allons par exemple apprendre aux codeurs à recréer ces failles sur des systèmes vulnérables afin qu’ils ne les reproduisent plus.
À mi-parcours de la formation, nous organisons une compétition : « les challenges de sécurité ». Chacun se met dans une équipe pour hacker le système. Nous en organisons une autre à la fin des sessions de formation pour mesurer les progrès. Via cette gamification, nous leur apprenons à devenir des hackers à leur tour. Nous croyons en la pédagogie active : c’est en apprenant à hacker qu’ensuite vous pourrez réfléchir à la sécurisation de vos systèmes informatiques. Être un hacker, ça aide beaucoup à ne pas se faire hacker.
Par exemple, au moment où ils créeront un nouveau site internet, ils ne stockeront plus les mots de passe sur leur site. Nous les aidons à acquérir les bons réflexes de sécurité.
Évidemment, nous travaillons avec les développeurs mais aussi avec les Directions de communication et des ressources humaines pour créer des événements autour de la cybersécurité. Lors de ces rendez-vous, les gens peuvent passer boire un café, discuter et voir des hackers agir en direct. Cela leur permet de vraiment réaliser l’enjeu. Beaucoup de personnes qui travaillent dans des entreprises de développement informatique refusent des audits sous prétexte qu’ils sont une petite entreprise. Mais c’est un sujet à prendre au sérieux, il faut vraiment faire attention, ce sont des données personnelles, sensibles et très importantes.
Dans la première entreprise où j’ai réalisé un audit, en quelques secondes j’ai eu accès à tous les noms, adresses et coordonnées bancaires des collaborateurs.
Faire des audits, c’est important pour avoir un regard extérieur. Toute entreprise fait des tests de qualité quand un produit est commercialisé. Pourquoi ne pas l’appliquer aux produits immatériels ? Même si le mot « audit » peut parfois être crispant voire inadéquat. C’est pour cela que chez Blackfoot nous appelons cela le « hack », il faut le voir comme un événement.

2. « Tools » : Aider les entreprises à développer leurs outils de cybersécurité

L’objectif est d’améliorer les outils, les workflows et d’apprendre à mieux structurer et penser les process. Les hackers viennent aussi dans l’entreprise pour comprendre comment elle fonctionne en interne, pour donner les bons conseils. Nous commençons par analyser les workflows, c’est-à-dire comment les employés communiquent, avec quel logiciel, etc.

Nous envoyons des hackers parmi les équipes de développeurs afin qu’ils puissent leur parler de leurs projets, de leurs besoins, etc. Tout en regardant leurs codes de développement. Finalement, notre recommandation porte soit sur des services alternatifs, soit sur une amélioration des services existants. Nous pouvons également proposer des outils de SAST [NDLR : Static Application Security Testing]. Ce sont des services qui permettent de scanner du code automatiquement et en permanence pour détecter des failles potentielles. Nous accompagnons également les DSI dans la mise en place de ces services.

3. « Innovate » : créer des outils software ou hardware aussi bien pour attaquer que pour se défendre

À la base, nous sommes une entreprise spécialisée dans la conception de produits innovants (logiciels et matériels). Notre expertise s’étend donc de la cybersécurité jusqu’aux logiciels embarqués pour drones. Innovate est l’union entre notre expertise en matière de cybersécurité ET notre coeur de métier qu’est l’innovation.

En somme, nous proposons de créer des produits innovants qui répondent aux besoins de nos clients en matière de cybersécurité. Ces produits sont fabriqués en France, c’est important, les entreprises et institutions se doivent d’avoir des produits dont elles sont certaines qu’ils sont sécurisés.

À quoi ressemblerait la cybersécurité de demain selon vous ?

Ouverte ! J’aimerais qu’il y ait des entreprises qui ouvrent leurs portes aux hackers pour qu’ils trouvent des failles et des bugs.
Des plateformes existent déjà comme « Hacker One » qui permettent aux entreprises d’ouvrir leurs serveurs à tout le monde. Ces initiatives fonctionnent très bien : des milliers de failles sont trouvées grâce à cela ! C’est une stratégie gagnant-gagnant. Les hackers ont ainsi la conscience tranquille et peuvent effectuer leur travail en paix. Ils n’ont pas peur qu’une entreprise leur fasse un procès juste parce qu’ils ont fouillé un peu…
Quand une entreprise déclenche un procès contre un hacker qui n’avait que de bonnes intentions, un « white hat », elle a le droit pour elle. Ces procès détruisent les bonnes intentions des hackers. La majorité des hackers que je connais ont un sens éthique très développé et sont très conscients de ce qu’ils font et de ce qu’ils veulent faire : le bien. Si on les traite comme des sous-citoyens parce qu’ils ont fait quelque chose qui est à la limite de la légalité, c’est dommage. Ils oeuvrent vraiment dans une perspective de bien commun.
Si l’on parle d’un futur idéal, je pense qu’il faut des lois pour protéger les « white hat » et encouragent (voire obligent) les entreprises à les dédommager lorsqu’ils trouvent des failles majeures.

Nous sommes entrés dans une société collaborative. Il faut accepter qu’il y ait des lanceurs d’alertes, qu’il faut rémunérer et encadrer.
Par exemple, si un développeur identifie des failles et en informe l’entreprise qui décide de ne rien faire mais que 6 mois après elle se fait attaquer et perd plusieurs millions en une journée… La question de la rémunération est légitime. Mais il faut que ce soit institutionnalisé et encadré.
Dans la cybersécurité, il y a un mouvement qui s’appelle “No More Free Bugs”. Si un hacker trouve une faille de sécurité, il contacte l’entreprise en lui demandant quel est son processus pour corriger la faille. Si la réponse est : “Ce n’est pas une faille”, ou “Faites attention, on va vous faire un procès”, le hacker peut simplement refuser de partager les détails sur cette faille avec l’entreprise en question avant d’avoir été payé mais il peut aller jusqu’à diffuser la faille. C’est extrême, mais ça encourage la sécurité ouverte.
Un autre exemple, dans le domaine de la démocratie digitale : si demain tout le monde peut voter en ligne, alors il faut que le code soit ouvert à tous. Cela nécessite des années de test par des experts pour pouvoir valider la robustesse d’un tel système. Malheureusement, quand les gouvernements mettent en place des plateformes digitales, elles sont souvent fermées. C’est la sécurité par l’offuscation, sauf que cela ne fonctionne jamais. Comme l’application de messagerie Tchap que les pouvoirs publics ont lancé début 2019. Un chercheur français a trouvé une faille dans les minutes qui ont suivi la sortie de l’application !

Enfin, pour se projeter encore plus loin, il y a l’informatique quantique qui est en train d’arriver. Elle pourrait complètement remettre en cause notre conception actuelle de la sécurité. La capacité de calcul est telle que tous les systèmes pourraient être craqués. En gros, si un ordinateur quantique tombe entre de mauvaises mains aujourd’hui… on est foutus ! Heureusement, des gens très biens étudient le sujet de près et des algorithmes de sécurité quantiques ou post-quantiques verront certainement le jour à temps, il y a de l’espoir !

Et après ? Envie de se glisser dans la peau d’un hacker ?

Retrouvez la première partie de l’interview de Thomas Navennec sur la cybersécurité chez les particuliers ici.