Quelles stratégies adopter pour les industriels en matière de cybersécurité ? Quelles solutions existent pour détecter et corriger les failles des systèmes informatiques ? Pour apporter des réponses à ces questions, nous avons rencontré Yassir Kazar, CEO de YoGoSha, plateforme multiservice de cybersécurité.

« Il faut sortir du climat anxiogène lié à la cybersécurité et du marketing de la peur ! ». Ainsi s’adresse Yassir Kazar aux industriels et aux entrepreneurs français. « Certes, les cyberattaques sont un risque réel, mais il faut le rationnaliser, l’étudier et le rentrer dans sa feuille de route stratégique ». D’autant plus qu’aujourd’hui, sécurité et sureté sont en train de converger. Jusqu’à récemment, la sécurité informatique restait un sujet relatif aux machines. Si les systèmes informatiques ou les machines tombaient en panne, en résultait une simple perte de données. La sureté se rapportait quant à elle à la sécurité physique des individus. « Petit à petit les deux mondes se retrouvent et on va cumuler les vulnérabilités digitales avec les vulnérabilités du monde des atomes », explique-t-il. Dans cet état structurel, les industriels doivent prendre en compte différents facteurs pour adapter leur stratégie en matière de cybersécurité.

Les problématiques de la cybersécurité industrielle :

1. Comment accéder à des compétences rares ? « Aujourd’hui il y a une pénurie structurelle sur le marché de la cybersécurité. Fin 2021, il y aura potentiellement 3,5 millions d’emplois dans le monde qui seront non remplis ». Selon Yassir Kazar, la population des hackers est une population critique pour les années qui viennent. Le manque d’experts en système informatique prive les entreprises ressources pour se défendre face aux attaques, qui sont de plus en plus nombreuses. De plus, la digitalisation des services et infrastructures à l’instar des smart cities, de l’accès à l’eau, des voitures ou des maisons connectées, des transports ou encore du nucléaire, rend les industriels plus vulnérables. La convergence de ces facteurs accroît ainsi le risque de cyberattaques.

1. Comment avoir des services qui permettent de trouver de manière viable des vulnérabilités selon la maturité des applications ? Il y a des groupes qui comportent plusieurs milliers d’employés dans le monde, qui sont composés de plusieurs entités distinctives. Chacune d’entre elles a des équipes de développement différentes à des niveaux de maturité différents. « L’approche unique ne fonctionne pas, il n’y a pas de solutions basiques. Il faut donc imaginer des solutions en multicouches, qui permettent de commencer par le niveau zéro de la sécurisation, puis d’augmenter progressivement le niveau des programmes de sécurité », explique le CEO.

1. Comment respecter les contraintes budgétaires pour pouvoir défendre un retour sur investissement ? « Il faut voir la cybersécurité non pas comme un centre de coûts, mais comme un investissement ». Aujourd’hui, la cybersécurité apparaît comme un avantage compétitif pour les entreprises. Concrètement, sur deux sites de e-commerce, il y a plus de probabilités que l’internaute achète sur un site sécurisé où chaque étape du parcours client est sécurisée (cadenas dans l’URL, process de paiement sécurisé, etc.) que sur un site qui ne respecte pas ces normes. « Les chefs d’entreprise doivent intégrer la cybersécurité comme un levier de croissance pour leur business », explique Yassir Kazar.

CVD, Pentest Crowdsourcé, Bug Bounty : des solutions de cybersécurité sur mesure 

Le process CVD (Coordinated Vulnerability Disclosure) est le niveau zéro de la cybersécurité. Si un hacker trouve une ou plusieurs failles dans le système informatique d’une entreprise, alors s’établit ce process dans lequel les deux parties vont pouvoir collaborer dans un cadre juridique fixé et approuvé par les instances européennes. « L’idée, c’est d’avoir une politique d’entreprise qui va encadrer les échanges et qui va être publique, pour protéger à la fois les hackers et les entreprises », explique Yassir Kazar. Vient ensuite le Penteste crowdsourcé, process lors duquel les membres établissent un audit de sécurité auprès du client. C’est l’étape qui précède celle du Bug Bounty, programme de stade avancé qui ne convient pas forcément à de jeunes applications. « Le Penteste crowdsourcé est un état des lieux du niveau de sécurité de l’application, c’est la première brique de sécurité ».

Enfin, le programme Bug Bounty est un appel aux hackers à pirater les systèmes de sécurité d’une entreprise. Organisé par l’entreprise elle-même, les hackers sont par la suite récompensés selon le degré de risque lié à la faille détectée. A travers la vocation de Developper Security Operator, l’enjeu est de lier les développeurs avec la sécurité dans une démarche agile, pour être au plus proche du cycle de développement. Il existe également d’autres formes de programmes, tels que les live hacking event, évènements organisés entre les clients et les hackers sous forme de course chronométrée.

La digital factory, un process privilégié par les industriels  

« Les grands groupes industriels ont des cycles de développement assez longs, dans leur cas, on peut mettre en place ce qu’on appelle la digital factory », explique Yassir Kazar. Pour accélérer leur capacité à se développer plus rapidement, les salariés sont immergés dans une digital factory avec les équipes des startups de cybersécurité. Littéralement « usine de production informatique », ce programme permet aux employés des services de sécurité informatique interne de s’inspirer des méthodes agiles des startups et de développer rapidement des applications. Les digital factory ont vocation à produire beaucoup en peu de temps. YoGoSha a par exemple collaboré avec Thales dans cette démarche de digital factory. Un exemple à retrouver sur la nouvel plateforme Tech in Fab de Bpifrance consacrée aux ponts entre les univers de la Tech et de l’industrie.