Mardi 15 octobre 2024, SMART TECH reçoit Thomas Hutin (responsable cybersécurité, FTI Consulting) et Nicolas Arpagian (Vice-président, HeadMind Partners)
Category
🗞
NewsTranscription
00:00Nouvelle réglementation, dispositifs anti-spoofing pour lutter contre les arnaques téléphoniques,
00:10affaires de cyber-espionnage impliquant des hackers nord-coréens.
00:13C'est parti pour notre grand rendez-vous cyber dans Smartech avec Nicolas Arpagian.
00:18Bonjour.
00:19Bonjour Malphine.
00:20Expert cyber, ça va s'en dire.
00:21Vice-président du cabinet de conseil Edmind Partners.
00:24Vous êtes aussi enseignant à l'école nationale supérieure de la police, à l'école nationale de la magistrature.
00:29Sciences Po Saint-Germain, l'université polytechnique de Mohamed VI Maroc.
00:32Enfin, je ne sais plus quoi dire.
00:34Auteur de très nombreux ouvrages, le dernier en date.
00:37Il s'appelle Innocence à crédit sur le commerce de l'innocence.
00:40Donc totalement amoral.
00:41Et à côté de vous, Thomas Huttin qui dirige l'activité cyber-sécurité de FTI Consulting en France
00:47avec une grande expérience du cyber dans l'aéronautique, la défense, le secteur public, la finance, l'industrie, le transport, l'énergie.
00:55Et vous avez notamment participé à la définition de la position et des propositions de l'industrie européenne
01:00pour relever les défis de la cyber-sécurité et du transport aérien.
01:04D'ailleurs, j'aurais une petite question pour vous en aparté.
01:06Très bien. Bonjour Delphine.
01:07Bonjour.
01:08On va commencer avec ces nouvelles réglementations.
01:10Qu'est-ce qui va changer là avec Nice 2 et Dora ?
01:13On peut peut-être commencer par Dora parce que je n'en ai pas beaucoup parlé de ce nouveau règlement
01:16qui adresse en fait la sécurité des instituts financiers face aux risques numériques.
01:23Entrée en vigueur prévue le 17 janvier 2025.
01:26Ça laisse un petit peu de temps mais à quoi faut-il s'attendre ?
01:29Plus tellement de temps parce que c'est quand même des chantiers qui sont assez importants.
01:33Je trouve qu'il y a une certaine ambition derrière ce texte réglementaire qui couvre beaucoup de sujets.
01:39Il y a beaucoup de choses à faire.
01:41Est-ce que les institutions financières ne sont pas déjà les plus protégées en matière de cyber-sécurité ?
01:47Quand on pense aux grandes banques commerciales qui ont un rôle systémique pour le pays,
01:54oui elles sont bien équipées et elles travaillent sur ces sujets depuis longtemps.
01:58Après la nouveauté aussi avec Dora c'est que c'est l'ensemble des institutions qui travaillent dans le secteur financier.
02:05Donc on couvre un spectre beaucoup plus important de sociétés.
02:08Pas simplement les grandes banques auxquelles on parle naturellement
02:11mais ça peut aller effectivement sur des fonds d'investissement qui peuvent être beaucoup plus petits.
02:15Ça peut être des courtiers d'assurance, ça peut être des sociétés dans le domaine de crypto.
02:19Donc on va toucher à travers Dora des sociétés qui n'étaient tout simplement pas tellement régulées sur des sujets si bien jusqu'à maintenant.
02:27C'est un peu comme Nice 2 en fait.
02:29On étend le nombre d'organisations visées par ces réglementations.
02:32Et là on viendra sur Nice 2 sans seuil véritablement de taille.
02:37Et donc c'est simplement vous êtes dans le secteur financier.
02:40Et donc vous avez tout un ensemble d'exigences.
02:43Et donc on peut considérer que pour ces sociétés-là, la marge est assez haute.
02:46Autant quand il y a des risques opérationnels.
02:50Les grandes banques connaissaient ces sujets depuis des années.
02:53Elles sont préparées, elles ont un certain niveau de maturité.
02:56Autant pour d'autres sociétés, elles doivent s'adapter et tout de suite monter au niveau attendu par Dora.
03:03Et le niveau attendu par Dora, moi je le trouve assez élevé.
03:06Il y a beaucoup de choses à faire.
03:07Quand on regarde simplement, quand on lit le texte.
03:09Alors je ne veux pas faire peur à tout le monde.
03:11Mais le texte, on voit qu'il y a beaucoup de sujets de gestion des risques, de tests de sécurité.
03:15Des sujets aussi qui sont complexes.
03:17Quand on parle de sous-traitants, il faut intégrer les sous-traitants dans son fonctionnement.
03:22Et aujourd'hui c'est quand même pas mal de choses à faire.
03:25Et même les grands établissements qui travaillent depuis un certain nombre d'années sur le sujet,
03:29ont encore des choses à faire d'ici à la fin de l'année.
03:32Donc là c'est à peu près 100 jours.
03:35Demain ça sera 100 jours effectivement de Dora.
03:38Donc il y a quand même beaucoup de choses à faire.
03:40Et quand on rencontre les sociétés,
03:42généralement c'est des plans d'action qui sont sur plusieurs mois.
03:46Avec un certain niveau d'investissement qui est attendu.
03:48Donc là, on sait plutôt la dernière ligne.
03:51L'accélération pour atteindre cette date.
03:55Vous dites que la marge est haute, donc ça ne va pas être si simple que ça
03:58de se mettre en conformité d'ici le mois de janvier.
04:01C'est pareil pour Nice 2.
04:02On a encore moins de temps.
04:03Parce que là on attend une transposition en octobre.
04:06On a beaucoup plus de temps parce que c'est la transposition de la loi en droit français.
04:11Mais après on aura trois ans pour se mettre en conformité.
04:15Donc effectivement, Dora c'est le court terme.
04:19Le 17 janvier c'est fin de l'année.
04:21C'est 100 jours, donc c'est très court.
04:23Il y a beaucoup de chantiers sécurité.
04:25Et quand on regarde ces chantiers,
04:27nous chez FTI quand on fait des assessments pour des sociétés,
04:31on fait des analyses d'écart.
04:32Souvent il y a une quinzaine, une vingtaine de chantiers à réaliser.
04:36Et ces chantiers, on ne peut pas les faire tous en parallèle.
04:39Parce que c'est compliqué.
04:40Et les ressources internes et externes ne sont certainement pas suffisantes.
04:44Nicolas, est-ce qu'on va déborder sous les normes ?
04:50On va avoir au contraire un super élan dans la cyber.
04:53Tout le monde va être très bien protégé.
04:55On va voir chuter les escroqueries.
04:57Le principe de cette réglementation, c'est de penser en écosystème.
05:01Jusqu'à présent, c'était des entités isolées qui étaient protégées.
05:04Et là, avec Nice 2, avec Dora, on pense à un écosystème.
05:09Des entreprises qui sont interconnectées,
05:11avec des comparatifs de systèmes qui sont dans des entités plus petites
05:15qui vont avoir les technologies qu'on va retrouver chez les plus grands
05:18et qui donc pourraient être exposées à des attaques
05:20qui à l'origine visaient seulement des structures de taille conséquente.
05:24Et puis c'est surtout de dire,
05:25on va faire en sorte que notre économie numérisée et hyperconnectée
05:29soit la plus robuste possible.
05:32Et pour cela, il faut de la réglementation.
05:34Pourquoi ? Parce qu'elle va fixer des obligations,
05:36des dates d'entrée en vigueur, de mise en application
05:39et éventuellement un régime de responsabilité et potentiellement de sanction.
05:43Et c'est ces trois composantes qui vont faire qu'on a cet agenda qui se met en place.
05:50Alors évidemment, il est contraignant.
05:51Pourquoi ? Parce qu'il faut des femmes, des hommes à la tête bien faites
05:53pour pouvoir faire les travaux.
05:55Et puis en plus, il faut opérer sur les infrastructures.
05:57C'est-à-dire qu'on peut être pendant le spectacle continu,
06:01pendant que les travaux doivent avoir lieu.
06:03Et donc évidemment, ça oblige à consacrer des moyens techniques, humains, financiers
06:08pour conduire à ces dispositifs-là.
06:10Donc on a des échéances.
06:11Alors il s'avère que ni ce deux, on attend la loi française
06:13puisque le principe des directives,
06:15c'est que l'Union Européenne établit des objectifs,
06:18pas théoriques mais qui sont en tout cas assez larges.
06:24Et ensuite, le comment.
06:25Et le comment, il est établi par des lois nationales de transposition.
06:28On a aujourd'hui quatre États qui ont procédé à la publication de leur loi nationale.
06:33La France n'en fait pas partie.
06:35Mais bon, en principe, le texte était prêt.
06:37Il s'avère que la dissolution a modifié un peu l'agenda.
06:40La date butoir, c'est le 17 octobre 2024.
06:42Il est vraisemblable, vue la date du jour, qu'elle ne sera pas respectée.
06:46Mais par contre, on voit bien qu'il y a quand même cette tendance.
06:49Et comme le disait Thomas, on a ensuite, après ces trois ans,
06:52le directeur général de l'Annecy, Vincent Strubel, l'agence nationale de sécurité,
06:56a dit qu'il y aurait une tolérance, une compréhension.
06:59L'idée, c'est d'enclencher une démarche et de faire en sorte de tendre vers un résultat.
07:04Et ça, évidemment, c'est assez vertueux comme accompagnement des entreprises.
07:08D'ailleurs, on peut le signaler, il y a une plateforme sur le site de l'Annecy,
07:11donc cyber.gouv.fr, monespace-niss2.cyber.gouv.fr,
07:16pour essayer de comprendre comment je suis concerné.
07:20On parle de 30 000 organisations.
07:22Voilà, et elles doivent se déclarer elles-mêmes.
07:24Donc ça veut dire qu'il faut qu'elles fassent cette auto-diagnostique,
07:27auto-évaluation de leur posture, de leur positionnement.
07:29Donc monespace-niss2.cyber.gouv.fr a vocation à centraliser l'information sur le sujet.
07:36Et on parlait du niveau de préparation, mais il y a aussi le niveau d'investissement qui va être nécessaire.
07:42Tout à fait, et c'est pour ça qu'à mon avis, il faut anticiper.
07:45Parce que c'est vrai que c'est des investissements.
07:47C'est des investissements avec des ressources, avec des personnes.
07:50C'est des investissements financiers.
07:52Et donc c'est important de lisser ces investissements dans le temps.
07:55Si on arrive au dernier moment, c'est sûr que ce sera une sorte de boss budgétaire qui sera difficile à valer.
08:02Donc je pense que c'est la préparation, l'anticipation.
08:05Et puis il faut bien que tout le monde ait en tête que la cybersécurité,
08:08je pense qu'on est d'accord, c'est un chemin, ce n'est pas une destination finale.
08:12Donc il y a certainement un effort à mettre en place des mécanismes, des procédures, de la sensibilisation.
08:18Mais après, il faudra maintenir cet effort dans le temps.
08:21Donc effectivement, certainement des choses one-shot, je mets en place.
08:25Et après, il faudra continuer à les opérer et continuer à les améliorer.
08:28D'accord ?
08:29Donc on se situe dans un temps long.
08:31Et on pense de toute façon que cette dimension de cybersécurité, elle ne va pas disparaître.
08:35Elle va faire qu'elle est croissante.
08:37En tout cas, c'est comme ça depuis le début.
08:40Mais je voulais qu'on passe à notre autre sujet, parce que je vois le temps qui passe.
08:43Alors on a un nouveau dispositif.
08:45On sort de la réglementation, là on rentre vraiment dans le concret.
08:47Dispositif anti-spoofing téléphonique.
08:50Je voulais vous demander, qu'est-ce qu'on peut en attendre ?
08:53Puisque là, depuis le 1er octobre, ça y est, les opérateurs sont obligés d'authentifier,
08:58de vérifier l'authenticité d'un numéro et de couper les appels frauduleux
09:04avant qu'il n'arrive finalement sur le combiné de l'utilisateur.
09:09Il faut quand même rappeler que ça ne concerne que les lignes fixes qui pourront être authentifiées aujourd'hui.
09:15Mais est-ce qu'on peut en attendre un effet, un résultat avec une baisse des fraudes,
09:20par exemple aux faux conseillers bancaires ?
09:22Alors c'était une escroquerie assez prospère.
09:25Pourquoi ? Parce que vous receviez un message qui apparaissait sur votre écran de téléphone
09:29comme émanant en général d'une banque ou d'une entité dite de confiance.
09:33Là, l'idée, c'est dans la main des opérateurs pour bloquer le fait qu'on ne pourra plus, j'allais dire,
09:41endosser l'identité d'une entité tierce, précisément pour éviter cette usurpation.
09:47Puisque l'appel et l'affichage du numéro devaient créer le climat de confiance
09:51pour que le destinataire du coup de fil soit à même de répondre aux sollicitations,
09:56par exemple donner des coordonnées bancaires, des données personnelles.
10:01Alors que derrière ces escroqueries, ce sont quoi comme type de numéros ?
10:07Des mobiles ? Des numéros à l'étranger ?
10:11En tout cas, ce n'est pas celui de la banque en question, c'est surtout ça le véhicule.
10:15L'utilisation, c'est de réduire un moyen qui était à la main des attaquants, des pirates, des escrocs,
10:22qui sont avant tout là des escrocs, puisque la dimension technique est au final assez modeste,
10:26et donc de faire en sorte de réduire les risques pour tout un chacun, monsieur, madame, tout le monde,
10:31d'être leurrés par cet affichage initial.
10:36Mais alors ça ne marche pas sur les mobiles, ça ne marche pas sur les SMS, ça ne marche pas sur le RCS.
10:41Et on nous dit, à la Fédération Française de l'Économie, en fait c'est hyper complexe.
10:45On se dit, ce n'est pas très difficile à faire, de vérifier l'authenticité d'un numéro.
10:49Si, parce que ce réseau téléphonique a été fait pour connecter les gens entre eux
10:53et non pas pour des questions de sécurité. On est vraiment à un changement de paradigme aussi.
10:57C'est vrai qu'on a évoqué rapidement l'aviation, mais il y a plein de protocoles qui ont été conçus au départ
11:03pour communiquer de choses ouvertes.
11:05Et ces besoins de sécurité sont nouveaux, ils ne sont pas conçus nativement.
11:09Et donc, ajouter de la sécurité sur ces systèmes, c'est assez complexe.
11:13Il y a beaucoup d'opérateurs, il y a beaucoup de sociétés qui sont concernées.
11:17Et mettre en place un dispositif qui fonctionne pour tout le monde, c'est complexe.
11:21Donc voilà, on va avoir une arrivée progressive.
11:24Mais pour avoir un dispositif qui fonctionne partout, c'est compliqué.
11:30Et il faut imaginer, c'est ce qu'expliquait Nicolas, c'est un outil de l'attaquant.
11:34Donc on va priver l'attaquant de cet outil.
11:36Oui, il va en trouver un autre.
11:38C'est pour ça qu'effectivement, c'est aussi le message à faire passer, de dire,
11:41oui, ce ne sera pas la réponse absolue, puisque l'attaquant...
11:44Ce n'est pas le filtre anti-arnaque pour les preuves.
11:47En tout cas, l'éducation, l'éducation, l'éducation, c'est-à-dire qu'on ne répond pas à des sollicitations
11:51d'un appel téléphonique d'un banquier, ou d'un prétendu banquier.
11:54C'est aussi une des ripostes et des mesures de protection qui est très humaine,
11:58mais qui permet de se prémunir contre ce type de sollicitations.
12:02On termine avec une affaire, l'affaire de cyber-espionnage,
12:05avec des hackers nord-coréens impliqués.
12:08C'est Mandiant qui les traquait depuis quelques années ?
12:11Vous voulez nous raconter cette histoire ?
12:13En fait, c'est Mandiant qui les a documentés, en quelque sorte,
12:16à mode opératoire depuis plusieurs années, en fait, de personnes qui postulaient à des emplois,
12:20alors de techniciens, d'informaticiens, souvent des emplois à distance.
12:24Et ce qui est intéressant, c'est, dans le descriptif de cette affaire,
12:27c'est que c'est un concentré de toute la cyber-criminalité et de la cyber-attaque,
12:30c'est-à-dire des personnes qui usurpent des identités,
12:33évidemment, même leur localisation géographique,
12:35puisque ils travaillaient à partir de Russie, de Chine, éventuellement.
12:38Donc, évidemment, ce qui n'était pas annoncé, puisqu'ils ciblaient des entreprises occidentales.
12:43Deuxième chose, ils étaient dans des fonctions informatiques,
12:46donc ça veut dire avec des droits d'accès pour accéder à des données,
12:49mais on apprend également qu'ils cumulaient les emplois
12:52pour que leurs salaires additionnés les uns aux autres soient reversés aux autorités nord-coréennes,
12:57et ainsi disposent de devises occidentales.
13:00Donc, on voit que c'est à la fois des humains qui étaient mis à contribution dans leur savoir-faire,
13:04pas toujours avec la satisfaction visiblement de leur employeur, si on en croit l'analyse demandant,
13:08mais en tout cas d'individus qui vont être à la fois captés du renseignement,
13:11ramenés de l'argent, et puis profiter de l'interconnexion des systèmes pour agir.
13:15Ça permet de voir que tout ça est une mécanique très humaine, finalement.
13:18Oui, puis effectivement, ça illustre aussi, quand on fait des analyses de risques
13:22pour comprendre le contexte des sociétés,
13:24ça illustre tout ce qu'on appelle la menace interne, ou insider threat,
13:27et de dire qu'il faut faire attention à ses employés.
13:30Donc là, c'était des employés qui travaillaient complètement à distance,
13:33et la vérification de ces employés est importante,
13:36parce que sinon, on ouvre la porte tout simplement, on donne les clés d'accès,
13:40et après, c'est très simple de compromettre la société.
13:43C'est vrai qu'il y avait un exemple qui était assez flagrant,
13:45où dès qu'une personne s'est connectée le premier jour de son arrivée,
13:49il y a quasiment automatiquement une attaque informatique qui s'est déclenchée.
13:52Donc voilà, ça fait partie des fondamentaux de la cybersécurité,
13:55et c'est illustré à travers cet exemple.
13:58Thomas, j'avais dit que j'avais une petite question en apparté pour vous.
14:00On a vu qu'Air France avait annoncé une signature avec Starlink
14:04pour offrir du Wi-Fi dans l'avion de manière aussi confortable qu'à la maison.
14:09Ça présente un risque cyber, ça ?
14:11Alors en fait, les avionneurs, dans leur construction,
14:15les compagnies aériennes et les autorités de sécurité aérienne,
14:18il y a tout un écosystème autour de la sûreté de l'airien,
14:22ont pris en compte ce type de contexte d'usage depuis un certain temps.
14:27Et en fait, les données sont séparées,
14:30et tout ce qui concerne l'avionique, la conduite de l'avion,
14:34et tout ce qui concerne le passager, le métier de combine, de cabine,
14:38sont sur des infrastructures qui sont séparées.
14:42Heureusement !
14:43Donc ça reste comme ça, mais ça fait partie, conceptuellement, par construction.
14:50C'est des infrastructures qui sont séparées.
14:52Merci beaucoup Thomas Huttin de FTI Consulting
14:55et Nicolas Arpagian de Edmines Partners pour vos éclairages.
14:58A très bientôt.
14:59Merci Delphine, merci Nicolas.