{"id":13912,"date":"2023-05-02T23:06:40","date_gmt":"2023-05-02T21:06:40","guid":{"rendered":"https:\/\/largeur.com\/?p=13912"},"modified":"2023-05-02T11:11:28","modified_gmt":"2023-05-02T09:11:28","slug":"informatique-9","status":"publish","type":"post","link":"https:\/\/largeur.com\/?p=13912","title":{"rendered":"Cybers\u00e9curit\u00e9: PME, pr\u00e9parez la riposte! (2\u00e8me partie)"},"content":{"rendered":"

Une version de cet article r\u00e9alis\u00e9 par Large Network est parue dans\u00a0PME<\/a>.<\/p>\n

_______<\/p>\n

Retrouvez la premi\u00e8re partie du dossier\u00a0ici.<\/a><\/p>\n

_______<\/p>\n

\u00abC\u2019est principalement la finalit\u00e9 qui nous diff\u00e9rencie des hackers malveillants\u00bb<\/strong><\/p>\n

D\u00e8s l\u2019enfance, Paul Such s\u2019amusait \u00e0 d\u00e9monter des ordinateurs pour en comprendre le fonctionnement. Depuis plus de 20 ans, il \u00abpirate\u00bb les entreprises et les institutions pour en exposer les failles. Apr\u00e8s avoir fond\u00e9 puis dirig\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 SCRT pendant 15 ans avant de la revendre, il cr\u00e9e en 2016 l\u2019entreprise Hacknowledge. Bas\u00e9e \u00e0 Morges (VD), la PME de 52 employ\u00e9s, r\u00e9cemment rachet\u00e9e par la Poste, s\u2019est notamment sp\u00e9cialis\u00e9e dans le hacking \u00e9thique.<\/p>\n

Que fait un hackeur \u00e9thique ou \u00abwhite hat hacker<\/em>\u00bb?<\/strong><\/p>\n

Paul Such<\/strong>: \u00abLe principe est la m\u00eame que celui des hackers criminels, ou \u00abblack hat hacker<\/em>\u00bb, mais l\u2019intention est diff\u00e9rente. Dans notre cas, les entreprises sont au courant du piratage, elles nous mandatent, l\u2019objectif \u00e9tant de d\u00e9couvrir et de r\u00e9parer les vuln\u00e9rabilit\u00e9s de leur syst\u00e8me. Un hacker malveillant va les exploiter \u00e0 ses propres fins. Mais les comp\u00e9tences et les proc\u00e9d\u00e9s sont les m\u00eames. C\u2019est toujours grisant de se lancer dans la recherche des failles. C\u2019est principalement la finalit\u00e9 qui change.<\/p>\n

Quels sont vos outils?<\/strong><\/p>\n

Nous effectuons des \u201ctests d\u2019intrusion\u201d. Cette m\u00e9thode mobilise les m\u00eames techniques que les hackers malveillants pour p\u00e9n\u00e9trer dans les logiciels et acc\u00e9der aux donn\u00e9es de l\u2019entreprise. Nous cherchons les br\u00e8ches techniques mais aussi les failles humaines. Ce sont par exemple des mails aux pi\u00e8ces jointes truff\u00e9es de virus que nous envoyons \u00e0 tous les employ\u00e9s afin de d\u00e9couvrir combien ouvrent l\u2019email dangereux. Ces phases de test ont une dur\u00e9e variable, de deux jours \u00e0 deux mois, selon la taille de l\u2019entreprise et la quantit\u00e9 de donn\u00e9es sensibles qu\u2019elle manie. Plus on passe de temps, plus on peut creuser profond\u00e9ment, et rep\u00e9rer ce qu\u2019un pirate trouverait sur le m\u00eame laps de temps.<\/p>\n

Que conseillez-vous aux PME?<\/strong><\/p>\n

Il faut sensibiliser et \u201cre-responsabiliser\u201d les employ\u00e9s. La plupart pensent savoir utiliser correctement l\u2019informatique et n\u00e9gligent les comportements protecteurs. D\u2019autres se d\u00e9douanent en se reposant sur les \u00e9quipes informatiques. Or, la cybers\u00e9curit\u00e9 est un travail de tous, en continu. Il ne suffit pas d\u2019une intervention pour garder une s\u00e9curit\u00e9 optimale dans le temps. Les collaborateurs peuvent \u00eatre \u00e0 la fois la pire faille et la meilleure des protections. Lorsqu\u2019ils ne sont pas form\u00e9s, 50% des employ\u00e9s se font avoir par les proc\u00e9d\u00e9s d\u2019ing\u00e9nierie sociale. Form\u00e9s, 90% rep\u00e8rent le probl\u00e8me et le signalent.<\/p>\n

Il faudrait \u00e9galement mener un test d\u2019intrusion au minimum une fois par an. Une entreprise met en moyenne 100 jours \u00e0 r\u00e9aliser qu\u2019elle a \u00e9t\u00e9 pirat\u00e9e. Pendant cette p\u00e9riode, les hackers peuvent chercher tranquillement les donn\u00e9es les plus importantes de l\u2019entreprise avant de lancer leur attaque, par exemple en chiffrant les informations contre ran\u00e7on.<\/p>\n

Que faut-il pour faire un bon hacker \u00e9thique?<\/strong><\/p>\n

De la curiosit\u00e9 et de la d\u00e9termination. Il faut r\u00e9fl\u00e9chir \u00e0 tous les moyens possibles par lesquels infiltrer l\u2019entreprise. C\u00f4t\u00e9 technique, il faut constamment se tenir au courant des nouvelles failles de s\u00e9curit\u00e9, des formes d\u2019attaques afin de rester au m\u00eame niveau de connaissance que les pirates. Enfin, il faut un casier judiciaire vierge, et dans le cas d\u2019Hacknowledge, une r\u00e9sidence sur le sol suisse.\u00bb<\/p>\n

\"\"<\/p>\n

Les sp\u00e9cialistes de la cybers\u00e9curit\u00e9 se regroupent<\/strong><\/p>\n

Le march\u00e9 de la cybers\u00e9curit\u00e9 enregistre une phase de consolidation. Les besoins accrus des entreprises pour des solutions unifi\u00e9es et la p\u00e9nurie de personnel qualifi\u00e9 expliquent cette tendance.<\/strong><\/p>\n

Les rachats et fusions d\u2019entreprises actives dans le domaine de la cybers\u00e9curit\u00e9 semblent prosp\u00e9rer ces derniers mois. Orange Cyberdefense, la filiale s\u00e9curit\u00e9 du groupe \u00e9ponyme, a rachet\u00e9 au mois de novembre 2022 les soci\u00e9t\u00e9s morgeoises SCRT et Telsys, qui comptent \u00e0 elles deux 100 collaborateurs r\u00e9partis entre leur si\u00e8ge et leurs bureaux \u00e0 Gen\u00e8ve et \u00e0 Berne. SCRT compte aujourd\u2019hui parmi les leaders sur le march\u00e9 suisse romand de la s\u00e9curit\u00e9, et a f\u00eat\u00e9 il y a quelques mois ses vingt ans d\u2019existence, tandis que Telsys s\u2019illustre comme le sp\u00e9cialiste des infrastructures cloud, r\u00e9seau et de centres de donn\u00e9es.<\/p>\n

Autre op\u00e9ration majeure: la fusion en novembre 2022 entre l\u2019entreprise vaudoise Elca Cloud Services (ECS) et EveryWare de Zurich. Leur objectif: \u00abcr\u00e9er un sp\u00e9cialiste du cloud de premier plan \u00e0 l\u2019\u00e9chelle nationale\u00bb. Bas\u00e9e \u00e0 Lausanne, l\u2019entreprise ECS est issue du groupe Elca, une des plus importantes soci\u00e9t\u00e9s IT ind\u00e9pendantes en Suisse.<\/p>\n

La tendance concerne aussi des PME sp\u00e9cialis\u00e9es. Ainsi, la soci\u00e9t\u00e9 e-Xpert Solutions, bas\u00e9e \u00e0 Plan-les-Ouates (GE), et l\u2019entreprise One Step Beyond, bas\u00e9e \u00e0 Gland (VD), ont uni leurs forces en fin d\u2019ann\u00e9e derni\u00e8re pour donner naissance \u00e0 Swiss Expert Group (SEG), qui r\u00e9unit d\u00e9sormais plus de 80 employ\u00e9s sp\u00e9cialis\u00e9s dans les domaines de la cybers\u00e9curit\u00e9 et des solutions cloud.<\/p>\n

L’objectif des fusions et des acquisitions est de pouvoir proposer plusieurs offres de s\u00e9curit\u00e9 d’une seule source, c’est-\u00e0-dire de combiner les comp\u00e9tences de diff\u00e9rentes entreprises afin de proposer aux clients des solutions int\u00e9gr\u00e9es plus fortes, estime Nicole Wettstein, responsable du programme cybers\u00e9curit\u00e9 \u00e0 l’Acad\u00e9mie Suisse des Sciences Techniques (ASST-SATW): \u00abDans le domaine de la cybers\u00e9curit\u00e9 en particulier, le fait que certaines offres proviennent de la m\u00eame entreprise peut constituer un avantage et une valeur ajout\u00e9e pour les clients, pour des raisons de due diligence. Cela r\u00e9duit aussi au minimum les risques li\u00e9s aux tiers.\u00bb<\/p>\n

La p\u00e9nurie de personnel qualifi\u00e9 renforce \u00e9galement la consolidation du secteur. \u00abLe manque de sp\u00e9cialistes en cybers\u00e9curit\u00e9 en Suisse est un vrai probl\u00e8me. De nombreuses entreprises ont aujourd\u2019hui des difficult\u00e9s \u00e0 trouver et \u00e0 conserver des professionnels ad\u00e9quats. Il faut donc s’attendre \u00e0 ce que ces mouvements de regroupement se poursuivent \u00e0 l’avenir.\u00bb<\/p>\n

_______<\/p>\n

P\u00e9nurie de main d\u2019\u0153uvre: le d\u00e9fi de la d\u00e9cennie<\/strong><\/p>\n

Manque \u00e0 gagner<\/strong><\/p>\n

La Suisse manquera de 38\u2019700 professionnels de l\u2019informatique d\u2019ici 2030 selon les derni\u00e8res projections publi\u00e9es par ICT Formation professionnelle. Tous les domaines sont concern\u00e9s, des sp\u00e9cialistes en droit d\u2019internet aux techniciens en cybers\u00e9curit\u00e9 en passant par les d\u00e9veloppeurs web. Le manque \u00e0 gagner pour l\u2019\u00e9conomie suisse pourrait s’\u00e9lever \u00e0 31 milliards d\u2019ici \u00e0 la fin de la d\u00e9cennie selon un rapport de l\u2019Institut d\u2019\u00e9tudes \u00e9conomiques de B\u00e2le.<\/p>\n

Adapter la politique <\/strong><\/p>\n

\u00abOn ne peut pas laisser les entreprises relever le d\u00e9fi de la cybers\u00e9curit\u00e9 seules.\u00bb Jean-Henry Morin, directeur du programme de Bachelor du Centre Universitaire d\u2019Informatique de l\u2019Universit\u00e9 de Gen\u00e8ve, appelle les pouvoirs publics \u00e0 agir plus vite pour armer la jeune g\u00e9n\u00e9ration face au d\u00e9fi du num\u00e9rique. Pour lui, cette transition ne peut s\u2019effectuer que par la formation, \u00abet le temps presse, d\u2019autant que si une politique est effectivement adopt\u00e9e, elle mettra au minimum une g\u00e9n\u00e9ration avant que l\u2019on en per\u00e7oive les premiers r\u00e9sultats.\u00bb<\/p>\n

Ouvrir la branche aux CFC<\/strong><\/p>\n

\u00abIl faut rendre le m\u00e9tier plus attrayant pour les jeunes, et \u00e9largir l\u2019offre de formations, plaide Sylvain Pasini, professeur en s\u00e9curit\u00e9 de l\u2019information \u00e0 la HEIG-VD. Les jeunes devraient avoir acc\u00e8s \u00e0 une vari\u00e9t\u00e9 de voies ouvrant \u00e0 diff\u00e9rents types de postes dans le secteur de la cybers\u00e9curit\u00e9, sans \u00eatre forc\u00e9s de suivre des \u00e9tudes d\u2019ing\u00e9nieur.\u00bb Un avis partag\u00e9 par Lennig Pedron, directrice de Trust Valley: \u00abLa formation professionnelle serait un excellent moyen de r\u00e9pondre \u00e0 la demande croissante en analystes notamment.\u00bb<\/p>\n","protected":false},"excerpt":{"rendered":"

Alors que les menaces informatiques ne cessent d\u2019augmenter, la cybers\u00e9curit\u00e9 reste massivement n\u00e9glig\u00e9e par les PME suisses. De la sauvegarde des donn\u00e9es \u00e0 la r\u00e9action ad\u00e9quate \u00e0 adopter apr\u00e8s une attaque, les entreprises doivent pourtant imp\u00e9rativement prendre des mesures pour se prot\u00e9ger. Conseils et guide pratique.<\/p>\n","protected":false},"author":20313,"featured_media":13913,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[1303],"class_list":["post-13912","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-kapital","tag-choix-de-l-editeur","kapital"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/13912","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/users\/20313"}],"replies":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=13912"}],"version-history":[{"count":2,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/13912\/revisions"}],"predecessor-version":[{"id":13915,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/13912\/revisions\/13915"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/media\/13913"}],"wp:attachment":[{"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=13912"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=13912"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=13912"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}