Sommaire :
- La Cybersécurité : essentielle pour la sécurité économique de la France
- Secteurs vulnérables aux menaces de cybersécurité en France
- Compétences et certifications en cybersécurité les plus demandées en France
- Les principales menaces de cyber-sécu en France
- Guerre économique et espionnage entre groupes liés aux États
- Les pirates amateurs et les dangers du scriptedise.
- Bonnes pratiques de cybersécurité pour les entreprises françaises.
- Le paysage concurrentiel de la cybersécurité en France
[Valentin] Bonjour à toutes et à tous ! Moi, c’est Valentin, j’ai 26 ans. À la base, je n’étais pas du tout destiné à la cybersécurité.
En fait, à la base, je suis passé par Sciences Po et par la faculté de droit. Je voulais faire soit Saint-Cyr soit aux priorités de l’école des officiers de gendarmerie pour travailler plus dans la sécurité. Suite à des petits soucis personnels de santé, je n’ai pas pu m’orienter vers ce que je voulais faire au niveau militaire ou gendarmerie. Donc vu que j’aimais bien l’informatique et que je cherchais dans le milieu de la sécurité, j’ai tout simplement découvert la cybersécurité. Je suis parti de la fac de droit, et j’ai donc entamé un BTS spécialisé en informatique avec le PNED¹. J’ai fait un stage en cybersécurité offensive, tout ce qui est PAN-TEST, etc. Et ensuite, j’ai fait un service en cybersécurité à Bétune.
Par la suite, je suis parti chez Saint-Pont, qui est une école de formation au métier du numérique, parce que je voulais approfondir tout ce qui était, intelligence artificielle avec la cybersécurité. Qui est d’ailleurs aujourd’hui en train d’émerger petit à petit. Je voulais donc comprendre comment les IA allaient impacter la cybersécurité offensive. Ensuite, j’ai travaillé dans un grand cabinet comptable et d’audit, qui s’appelle In Extenso en tant que consultant. Et maintenant, depuis le mois de septembre, j’ai rejoint une SN² qui s’appelle Kraken sur Marbella.
¹Programme des Nations unies pour le développement.
²Système numérique.
[Valentin] Quand on pense cybersécurité, on pense tout de suite au Pan Test. En réalité, il y a énormément de métiers, il y a énormément de demandes, je fais un parallèle avec certains collègues qui sont en droit, tout ce qui est éthique et juridique au niveau de la cybersécurité. Ce sont des métiers qui vont prendre de plus en plus d’ampleur, notamment avec les nouvelles normes, comme la NIS2³, la 2A etc…
Donc la cybersécurité n’est pas forcément un métier que de technique. Il y a besoin de techniciens, oui, mais il y a besoin d’ingénieurs, de managers, de juristes et d’enquêteurs aussi. C’est assez polyvalent. Et je pense qu’à l’avenir, les chiffres montrent qu’il y aura de plus en plus besoin de métiers dans la cybersécurité en général.
³NIS 2 représente un appel à l’action pour toutes les entités concernées afin de renforcer leur posture de sécurité et de se préparer efficacement aux défis de cybersécurité à venir.
[Valentin] Alors, d’un point de vue purement technique, forcément, à titre personnel, je pense qu’avec la situation géopolitique, les attaques vont de plus en plus augmenter. Les entreprises risquent d’avoir également une pression législative de plus en plus importante. On voit, par exemple, avec la INIES⁴, la nouvelle norme européenne qui impose que ce soit des grandes entreprises ou des PME répondant à certains critères.
Une loi, qui va exiger les critères minimums en matière de cybersécurité. Les tensions géopolitiques vont augmenter petit à petit, on le voit avec les conflits un petit peu partout dans le monde qui commence à émerger à nouveau. Avec les guerres hybrides, les guerres économiques qui se renforcent, je pense que la cybersécurité va devenir un maillon essentiel de la sécurité du pays et de l’Europe en général. Il va peut-être du coup en avoir de plus en plus, ce sera de plus en plus présent dans notre pays.
⁴INIES est la base de données nationale de référence sur les données environnementales et sanitaires des produits et équipements de la construction.
[Valentin] Concernant les secteurs d’industrie, c’est très simple. Ce sont ceux qui sont directement visés par la NIS2⁵, en fait, que l’Europe a visé dans ces textes-là. Forcément, on retrouve des secteurs sensibles, comme tout ce qui est traitement des eaux, des eaux usées, des eaux potables, parce que forcément, il y a quelques années, aux États-Unis, il y a des hackers qui avaient réussi à pirater une centrale de traitement d’eau. Les plus vulnérables sont forcément les secteurs industriels et stratégiques.
En France, on peut citer par exemple tout ce qui est aérospatial, aviation, qui est déjà à un très bon niveau technique (notamment Airbus, Thales, etc…) J’ai envie de dire qu’il n’y a pas de secteur vraiment plus ciblé que d’autres. Tout secteur peut être touché. C’est ce qu’on appelle les attaques par pivot. Pour toucher un mastodonte, on va essayer d’attaquer la petite PME qui lui fournit sa carte électronique ou qui lui fournit du matériel, tout simplement.
Donc toutes les entreprises sont concernées. Il y a forcément certaines qui sont plus concernées que d’autres parce qu’elles sont en première ligne de front, entre guillemets.
⁵Les députés européens ont voté le 10 novembre 2022 la directive NIS 2 qui vise à harmoniser et à renforcer la cybersécurité du marché européen.
[Valentin] Tout va dépendre du profil et de ce qui est recherché. Je sais que je réussis à tirer un avantage du fait que j’ai un double parcours juridique et géopolitique et technique. Donc, ça peut aider. Après, le métier de la cybersécurité est très vaste. Ça peut aller du juriste, de l’ingénieur spécialisé dans une technologie précise. De l’ingénieur qui est spécialisé en cybersécurité offensive qui va faire des pan-tests. Mais ça peut être aussi, l’ingénieur qui va mettre en conformité certaines normes, technique et juridiques. Les profits sont très variés. Ça peut être ce qui s’appelle un DPO⁶, quelqu’un qui va vraiment faire tout ce qui est conformité réglementaire. Un RSSI⁷ qui va être plus à chapeauter toute son équipe cyber, à gérer des menaces, etc., de crise, ça peut être vraiment très varié. Ok.
⁶Délégué à la protection des données
⁷Responsable de la Sécurité des Systèmes d’Information de l’entreprise
[Valentin] Il y a bien sûr les ransomwares⁸, Lockbit, Ragnar Locker, etc. En fait, c’est un petit peu l’image du chalutier où on jette le filet dans la mer et puis les cybercriminels pêchent ce qu’il y a dans le filet. Donc, il y a des gros et des petits poissons dans le lot. Ça, je dirais que c’est la première menace, tout ce qui est gang de cybercriminels. Les ransomware. Ensuite, il y a tout ce qui va être le phishing⁹. Aujourd’hui, la principale menace en entreprise, c’est la faille humaine. C’est souvent l’employé qui ne va pas faire attention, qui va cliquer sur un mail, et qui va reprendre un ressommaire justement au sein de l’entreprise ou qui va accidentellement donner des informations sur l’entreprise.
⁸Ransomwares est un logiciel malveillant qui prend en otage des données personnelles
⁹L’hameçonnage ou phishing est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. Wikipédia
[Valentin] Après, il peut y avoir, comme on le disait tout à l’heure, dans un esprit plus géopolitique, guerre économique. Donc là, des groupes soit étatiques, soit liés à des États qui vont pirater pour des raisons d’espionnage, économique ou autres. Par exemple, récemment, Airbus avec Boeing, qui s’est fait rançonner une partie de ces données. On peut imaginer que c’est lié à une guerre d’espionnage et économique en tout cas. Moi, j’analyse vraiment d’un point de vue prisme géopolitique, mais ça peut être, par exemple, lors du Covid, il y a des laboratoires qui faisaient des recherches sur les vaccins. Il y a eu quelques attaques par-ci, par-là, pour avoir le monopole de sortir le vaccin en premier, etc.
[Valentin] Donc ça, après forcément, il y a aussi ce qui s’appelle le scriptedise. Ce qui va plus concerner des pirates amateurs, si j’ai envie de dire. Ceux qui vont voir un tutoriel ou regarder la série Mister Robot et ils vont s’imaginer hacker et ils vont lancer un script sans savoir vraiment ce que ça donne. Mais souvent, ça tombe à l’eau dans ce cas-là. C’est facilement détectable. Ça peut tomber à l’eau comme ça peut faire des dégâts. Mais heureusement, en France, on a tout un panel d’institutions et toute une chaîne institutionnelle. Notamment avec la gendarmerie en premier feu, qui fait du très bon travail, et désormais avec l’ANSI¹⁰.
¹⁰l’ANSI est un organisme qui vise à améliorer la qualité de vie aux États-Unis et la compétitivité des entreprises américaine
[Valentin] J’ai plusieurs réponses à donner, car chaque entreprise a des besoins différents. Mais en premier lieu, ce serait de faire déjà un audit du système informatique. Ensuite, je dirais la sensibilisation des salariés. Il faut vraiment prendre conscience aux salariés qui sont un maillon essentiel de la chaîne cyber. Si à un moment le maillon lâche, toute la chaîne en tension casse. Donc leur faire prendre conscience qu’ils sont un maillon essentiel et de faire attention. Le plus important à convaincre c’est le chef d’entreprise, c’est lui qui prendra conscience des risques que peut engendrer une cyberattaque sur son entreprise. Dont les risques financiers, les risques juridiques, mais également les risques sociaux. Car une entreprise qui se fait rançonner, malheureusement, si c’est une PME, elle a une chance sur deux de fermer.
[Valentin] En France, on a la chance d’avoir des pouvoirs politiques qui ont pris très tôt la décision de construire un paysage cyber français. Tout une chaîne, comme je disais tout à l’heure, avec le comcyber¹¹ de l’armée, le comcyberGEN¹² qui devient maintenant le comcybermine du ministère de l’Intérieur, l’Annecy, l’Apnid, on a vraiment un paysage assez important. Cependant, on ne va pas se le cacher, on a un paysage très concurrentiel. Que ce soit si, on regarde à l’ouest avec les États-Unis ou à l’est avec la Chine, la Russie, et même dans la zone orientale avec certains pays comme l’Iran ou l’Israël. Je pense qu’on reste dans les leaders de la cybersécurité mondiale, on va dire dans le top de la cybersécurité mondiale.
Par contre, il ne faut pas sous-estimer qu’il y a des gros challengers et des personnes qui peuvent faire très mal en face aussi. Ça reste une guerre très concurrentielle. Je pense que nous sommes bien placés, mais il ne faut pas oublier que c’est une course, notamment pour la cyber ou l’IA il y a une course.
¹¹Commandement de la cyberdéfense
¹²Commandement de la gendarmerie dans le cyberespace
—
Merci à Valentin pour cette interview ✨
Si vous cherchez un job en tant qu’ingénieur en cybersécurité, ou dans ce milieu c’est par ici 🔐
Merci de nous avoir lu, en espérant que ça vous a plu 🤓
Marie 💙
Quand on parle des femmes dans la tech, Ada Lovelace est souvent un rôle modèle…
Les maladies inflammatoires chroniques de l’intestin ou "MICI" sont invisibles, mais leurs impacts sur la…
Depuis l'été, j'ai un Pixel qui intègre à la fois un TPU (Tensor Processing Unit)…
On se retrouve dans un nouvel article avec toutes les infos sur cette nouvelle saison…
Pourquoi l’inclusion numérique est essentielle : le point avec Mathieu Froidure. Dans un monde de…