Ludovic de Carcouët (CEO Digitemis) : « Tout dirigeant d’entreprise doit s’approprier les enjeux de la cybersécurité »
Qu’elles soient médiatisées ou non, les cyberattaques n’ont jamais été aussi nombreuses ni autant dommageables pour les entreprises. Ludovic de Carcouët, CEO de Digitemis, rappelle la responsabilité qui échoit aux dirigeants d’entreprises en matière de cybersécurité. Leur rôle est primordial dans l’élaboration d’une politique cyber efficiente et dans la mise en place des bonnes pratiques au sein de leur entreprise. Encore faut-il qu’ils prennent pleinement conscience des enjeux de la cybersécurité.
Les questions posées à Ludovic de Carcouët :
1. Quels enseignements peut-on tirer ces dernières années en matière de cybersécurité pour les entreprises ?
Ludovic de Carcouët : « Pour les entreprises, la cybersécurité était un sujet lointain qui concernait uniquement des grands comptes dans certains secteurs d’activités clés comme la défense ou la banque. Elles ne se sentaient pas concernées par la cybersécurité, considérant à tort qu’elles n’étaient pas une cible ou qu’elles n’avaient rien à protéger.
Aujourd’hui, la cybersécurité concerne toutes les entreprises sans exception. D’abord parce que les entreprises – quels que soient leurs secteurs d’activités – sont devenues des entreprises informatiques. Il existe maintenant une dépendance totale à l’informatique : les entreprises investissent de manière conséquente dans l’informatique pour gagner en productivité, pour améliorer des process ou pour acquérir des données.
Les dirigeants de ces entreprises oublient souvent le sujet de la cybersécurité, ce qui rend leurs entreprises à la fois très dépendantes et très fragiles, d’autant plus que leur exposition a grandi : il y a 20 ans, elles étaient très peu informatisées, fermées sur elles-mêmes, peu interconnectées. Aujourd’hui, les entreprises sont mouvantes – les périmètres des entreprises bougent par le biais d’acquisitions, de cessions -, interconnectées et ouvertes vers des fournisseurs, des partenaires, des clients, des réseaux, des messageries…. Il n’est plus possible de se protéger simplement en se coupant du monde. »
2. Quel est l’impact des cyberattaques sur la santé économique des entreprises ?
Ludovic de Carcouët : « Les entreprises touchées par des cyberattaques, qu’elles soient cotées en Bourse ou non, connaissent de très importantes pertes d’exploitation ou de réputation. Certaines d’entre elles perdent des dizaines de millions d’euros. Par exemple, l’impact financier des cyberattaques subies par Eurofins Scientific en juin 2019 (attaque chiffrée à 75 millions d’euros) et par Bénéteau en février 2021 (perte estimée à 45 millions d’euros) ont été énormes. Elles entraînent une perte de toutes les données, qui mettent à plat l’entreprise, et font perdre des jours entiers voire des mois de fonctionnement. »
3. À quoi peuvent s’attendre les dirigeants d’entreprises dans les prochaines années ?
Ludovic de Carcouët : « Il faut s’attendre à voir apparaître ce que je nomme des cercles de confiance et de défiance, qui sont des univers mouvants. C’est comme dans des jeux vidéo en réseaux : on se retrouve dans une équipe, avec des ennemis et des alliés. Et on ne sait pas qui est qui. Un allié peut devenir un ennemi à un moment donné. C’est pareil dans la cybersécurité : un hébergeur web avec qui l’on travaille peut être corrompu à tout moment par une cyberattaque, et par rebond infecter notre entreprise.
C’est l’un des aspects les plus compliqués à gérer pour une entreprise : elle maîtrise certains paramètres mais elle dépend de plus en plus de partenaires, de fournisseurs et de sous-traitants. Sa problématique est d’obtenir des garanties vis-à-vis de ses dépendances, à la fois dans le choix des partenaires/sous-traitants, dans les contrats et dans le suivi au fil du temps. »
4. Quelle sera l’évolution de la législation en vigueur ?
Ludovic de Carcouët : « Il y a déjà eu une évolution forte en mai 2018 avec la mise en application du RGPD en Europe. D’autres pays nous emboîtent le pas : les États-Unis, le Canada, la Chine mais ce sont encore des balbutiements. D’ailleurs, l’une des difficultés pour une entreprise internationale est d’être conforme aux législations des différents pays où elle est implantée.
L’objectif d’une entreprise n’est pas simplement de se mettre en conformité avec le RGPD à un instant T. La difficulté est de maintenir cette conformité dans le temps, en accord avec les évolutions quotidiennes de l’entreprise : arrivée de nouveaux collaborateurs, installation de nouvelles applications, sélection de nouveaux fournisseurs… Les dirigeants espéraient être conformes à un instant T et le rester, mais cela ne se passe pas ainsi. La conformité RGPD dans une entreprise s’accompagne de coûts récurrents. Elle doit être maintenue à travers une veille régulière, une vigilance permanente et surtout l’intégration des bonnes pratiques dans les contrats, dans les relations avec les fournisseurs, dans l’ensemble des projets d’entreprise et auprès de l’ensemble des collaborateurs. La clé réside ici. La vigilance est de tous les instants dans l’entreprise, elle doit impliquer tout le monde. Malheureusement, force est de constater que ces bonnes pratiques ne sont pas toutes assimilées. »
5. Quels conseils donner à un dirigeant qui sous-estime la cybersécurité de son entreprise ?
Ludovic de Carcouët : « Un dirigeant d’entreprise a tendance à penser que la cybersécurité est un sujet trop compliqué pour lui, qu’il est incapable de le comprendre. Et il a tendance à laisser ce sujet technique entre les mains des techniciens. Or, la cybersécurité n’est plus un sujet qu’il peut déléguer à la DSI ou à un SSI. C’est un sujet sur lequel il lui faut des éléments de certitude car les risques économiques sont trop importants pour son entreprise. Il doit se convaincre qu’il faut vivre avec la cybersécurité, un peu comme avec les risques d’incendie par exemple : il est nécessaire de réaliser des tests de pénétration régulièrement, de mettre en place un processus d’amélioration continue et ne pas se dire que l’écosystème est sécurisé une bonne fois pour toutes…
Un dirigeant d’entreprise doit s’approprier les enjeux de la cybersécurité. On peut parler de Responsabilité Cyber des Entreprises (RCE) : un dirigeant doit être conscient de la responsabilité de son entreprise vis-à-vis de ses collaborateurs, des différents services, de ses fournisseurs, de ses clients. Il a un rôle sociétal à jouer et doit posséder une stratégie cyber afin d’embarquer toutes les parties prenantes. »
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?