La cybersécurité plus que jamais d’actualité

Le WAI Paris recevait récemment la fine fleur des start-up françaises de la cybersécurité lors d’un WAI CONNECT. L’occasion de présenter ces solutions aux clients ETI et Grandes Entreprises de BNP PARIBAS.

Les attaques cyber vont croissantes et cela n’arrive pas qu’aux autres. Le WAI Paris, lieu emblématique de l’innovation BNP Paribas, accueille des événements WAI CONNECT qui permettent de connecter les grandes entreprises avec des start-up innovantes. Et ce jeudi matin de novembre, la room a été attentive et très sensible aux slides d’intervenants de qualité.

 

Un business

« La cybercriminalité, c’est du business », lance d’entrée Didier Gras, IT risk and cybersecurity officer à BNP Paribas. « Il a dépassé en revenu le trafic de la drogue, et le problème pour les PME est qu’une victime sur deux n’y survit pas. » L’objectif de ce WAI Connect est d’amener des solutions, appréhender le niveau de risques, savoir où investir… les start-up apportent des réponses pragmatiques.

« Avec le business à travers internet, vous devez prendre en compte ce thème de la sécurité avec vos clients. »

 

Détecter et réagir

Au menu de la rencontre, plusieurs pitchs de start-up qui amènent des réponses françaises high level et concrètes. Se protéger, détecter et réagir.

On commence par Yogosha avec Yassir Kazar, son CEO.

« Personnellement, une histoire m’a marqué. En juillet 2017, Verizon veut racheter Yahoo. Durant l’opé de rachat, première vague de fuite de données chez Yahoo… » Quelques jours plus tard, seconde fuite. Verizon demandera ainsi à Yahoo de faire baisser son prix.

Yogosha a créé une plateforme de bug bounty, comprenez des chasseurs de primes de la faille de sécurité. Ingénieux. La start-up rappelle sur son site qu’« une stratégie de sécurité efficace n’est pas une dépense, mais un investissement ». L’entreprise teste ainsi sa sécurité avec une communauté de hackers rigoureusement sélectionnée, qui peut monitorer ses vulnérabilités sur sa plateforme de bug bounty privée.
Pour la petite histoire, Yogosha veut dire défense, ou défenseur, en japonais. La start-up travaille majoritairement avec la finance et le e-commerce. Les rapports de faille arrivent vite (parfois en 4 minutes) et ces dernières sont rapidement verrouillées.

 

Mesurer le risque

Chez Citalid, leur force, c’est le ROI (return on investment). Mesurer le risque cyber encouru et le réduire efficacement, et par quel investissement.

Maxime Cartan, son CEO explique : « Nous allons utiliser le profil de l’entreprise, sa maturité défensive et les menaces possibles. »

Citalid est ainsi la première plateforme européenne d’analyse et de quantification des risques cyber, avec des clients historiques comme la SNCF et Orange.

 

L’éternel login and password

Vous y êtes chaque jour, dès le matin, dans vos devices et à votre bureau. C’est le « active directory ». Emmanuel, fondateur d’Alsid, explique : « Il est partout ce système. Le login : c’est le système, qui vous donne privilèges et droits. C’est un système central invisible. Il est partout. »

Evidemment, dans une entreprise d’envergure, ce système peut mal tourner. Cela en devient une cible de choix. Ensuite ? Pertes de données, dangers sur l’image de marque… « Demandez à un responsable des risques dans un groupe de luxe sa grande peur : “ le risque c’est l’image de marque ! »

Le active directory permet au hacker d’accéder à de plus en plus de choses.

Alsid propose une solution qui monitore en temps réel les risques. « C’est l’alarme incendie, mais avant… du préventif, de la détection, pas pendant, ni après. »

 

Et les mails, on en parle ?

Hotmail, Gmail… C’est sympa en privé pour envoyer des news à votre grand-mère qui évidemment n’est pas à bloc sur Insta.

Hélas en mode pro, et surtout pour des données sensibles, on vous observe.

Thomas Baignères CEO de Olvid, est docteur en cryptographie : « WhatsApp, c’est un chiffrement de bout en bout, chiffré avant, et déchiffré sur le destinataire. » Mais comment font-ils ?

« WhatsApp opère un annuaire gigantesque, à chaque numéro est associé des clefs crypto. » Passionnant, mais complexe. Et comme tout ce qui est complexe, des petits malins aiment à entrer dans la brèche, infime soit-elle.

Après cinq années de recherche, Olvid offre la garanti de l’expéditeur, de la lecture au bon destinataire, et la garantie du message retour. C’est un pigeon voyageur si l’on peut dire. Personne ne peut l’intercepter. De plus, « notre plateforme n’a accès à aucune données personnelle. »

 

L’Edge, ou la sécu dans le Cloud

Volterra s’emploie à créer de nouvelles générations de plateformes qui opèrent avec l’Edge, une méthode d’optimisation du Cloud, décentraliser le mouvement de données étant aussi un risque. « Aujourd’hui nous avons de multiples usages via nos devices, comme la voiture connectée… », explique Benjamin Schilz, de Volterra.

« Il y a tellement d’applis qu’il faut que les calculs se fassent au plus près. Pour être plus réactif, se rapprocher de l’utilisateur, de l’usage.

« Ce qu’on fait chez Volterra, ce sont des applis plus modernes. Découper nos appli métiers, cela nous permet de les opérer plus facilement. » Verrouiller l’info pour que le nuage ne donne jamais de pluie.

 

En mode crise

8 heures, au bureau, vous tombez par hasard sur des plans, des plannings, des rapports de l’entreprise, en libre-service sur le web. Après votre 4e café et le stress à son comble que faites-vous ?

« La perte de données sur le net. Pas une semaine sans cas d’importantes sociétés avec fuites de données », explique Pierre Byramjee, de Cyber Angel.

Il faut savoir qu’« entre 50 et 90 % sont affaires de tierce partie. Ensuite une grande partie due aux négligences, d’un employé par exemple. La 3e tendances étant la prolifération de devices connectés, qui induit du risque. »

Cyber Angel agit comme un détecteur de fuite de données. Un moteur de recherche super sophistiqué va scanner le web, le dark web et le reste pour trouver ce qui est parti et confidentiel. « Nous avons retrouvé pour un client des plans de moteur d’avion par exemple, la sécu d’un aéroport ou encore des plannings de sky marshall aux Etats-Unis… » Impressionnant.

 

Se croire à l’abri ?

Jamais évidemment, car comme le souligne Thierry Piton, expert risque chez AXA France, « 80 % des entreprises en France ont eu une tentative de cyber attaque en 2018 ». Désormais le risque cyber est également dans les contrats, et en grande partie parfois.

Le bilan ? C’est comme tout, protégez-vous.