Echange avec Serge Carpentier, Directeur de la Business Line Audit, Conseil et Réponse à incidents au sein de SysDream. Cet échange a été fait à l'événement Hack in Paris de l'été dernier. 

Pourquoi un événement comme Hack in Paris est important ? Quels publics visez-vous et quels sont les thèmes abordés ?

Cet évènement a la particularité de rassembler des experts cyber du monde entier. Ils apportent un regard et un savoir qui dépassent nos frontières. C’est un moment unique pour se mettre à jour sur les dernières tendances et échanger entre pairs, qu’ils soient opérationnels ou non . L’évènement est ouvert à tous, à condition d’avoir des notions en cybersécurité.

Cette année nous avons souhaité mettre l’accent sur les objets connectés, l’IA, les nouvelles technologies de type 5G et satellitaires, analyses - réponses aux attaques et exploitation de vulnérabilité.  

Voyez-vous de nouvelles menaces ou méthodes de hack encore plus « sournoises » qu’avant ? Comment expliquez-vous ces évolutions ?

Le phishing est toujours de plus en plus perfectionné. Les attaquants amassent plus d'informations qu'auparavant, pour cause il y a une augmentation du nombre de réseaux sociaux et de professionnels qui continuent à diffuser des informations personnelles et professionnelles qui sont vulnérables. Ce sont autant de fuites de données qui sont exploitées par les attaquants et source de richesse pour eux..

Les failles sont aussi bien dans les logiciels, les codes que le matériel. Pensez-vous que le hack matériel est sous-estimé ?

Le hack matériel est effectivement sous-estimé et nous constatons des vulnérabilités critiques fréquemment publiées. Toutefois, il ne faut pas oublier la vulnérabilité humaine, qui est sensée être le premier rempart de sécurité mais qui s'avère également faillible. L'un ne va pas sans l'autre.

Zero Trust est brandi pour dire qu’il ne faut avoir avoir confiance en rien ou presque. Etes-vous d’accord avec cette philosophie ?

En partie seulement. Effectivement, il faut, toute proportion gardée, rester "vigilant" dans ce domaine. Toutefois la sécurité numérique est un monde où la coopération est impérative. Il faut donc nouer des cercles de confiance avec des partenaires, les maintenir, et les accroître.

La sécurité prend du temps et nécessite aussi un investissement (formations, compétences, outils, etc.) qui est parfois en opposition avec le besoin de sortir une app ou un matériel tout de suite. Quel équilibre faut-il trouver ? Faut-il gérer la sécurité selon le risque et le niveau de criticité ?

En sécurité informatique, il faut savoir se donner les moyens d'aboutir à un résultat sécurisé, même si le projet dépasse les délais. Le délai doit forcément être secondaire face à la sécurité du projet conçu. Il s'agit de trouver un équilibre qui permettra de prioriser une bonne gestion de ces risques en lien avec leur criticité. Autrement dit, passer plus de temps sur un risque et une criticité élevée plutôt qu'un risque et une criticité faible.

Quelle est pour vous le hack le plus « fun » que vous avez vu ces derniers mois ?

Il n'y a pas selon moi de hack "fun". Un piratage peut mettre en péril des activités critiques, faire perdre un travail à certaines personnes, sans parler des données qui fuitent dans la nature et qui peuvent, parfois, physiquement mettre en danger certaines personnes.