Rencontres Cyberisques NEWS: Loïc Guezo, Stratégiste, Trend Micro France

 

Rencontres Cyberisques NEWS : Loïc Guezo, Stratégiste, Trend Micro

 

L-Guezo-Dec-2015

 

Par Jean Philippe Bichard 

 

  

Une rencontre avec Loïc, c'est toujours l'opportunité d'aborder de nombreux sujets tant sous des angles éco, techno, stratégiques...qu'humoristiques. Pour ce Breton, convalescent d'IBM où il est resté plus de douze ans, rien ne paraît tabou mais tout reste filtré. Désormais chez Trend Micro où il supervise le développement de l'Europe du Sud en tant que Stratégiste depuis 2015, tout semble possible si l'on choisit le bon cadre d'action. Un cadre parfois difficile à borner car Loïc n'est pas seulement un manager. Ce membre de l'ARCSI (Réservistes du Chiffre, www.arcsi.fr) occupe de nombreux autres fonctions stratégiques en cybersécurité sur des secteurs « naturellement » sensibles : Interpol, Nucléaire… Il appartient au board d' associations majeures en France (comme le CLUSIF), est membre invité de leurs frères européens (ISMS Forum en Espagne, Clusit en Italie) et côtoie les experts des CERTs internationaux. A l'aise en Afrique (il revient de la dernière Assemblée Générale d'Interpol à Kigali, mais l'a déjà arpentée de 1993 à 1999 où il était agent de l'AFD) comme à un sommet sur le nucléaire en Autriche (en juin dernier, il participait, à la tête d'une task-force créée à son initiative par Eva Chen, CEO de Trend Micro, à la 1ère conférence mondiale sur la cybersécurité en environnement nucléaire, à l'AIEA de Vienne). Il anime un réseau très dense de contacts précieux et fidèles, au 4 coins du monde. Rencontre pour un petit déjeuner de fin d'année dans un lieu connu à Paris... avec plusieurs entrées et sorties, sur des adresse différentes. On ne sait jamais.

 

 

Cyberisques NEWS: Salut Loïc. Toujours chez Trend ? 

Loïc Guezo: Oui, depuis presque 3 ans maintenant. Je m'y sens bien et la stratégie est claire.

 

 

Mieux que chez IBM ?

Nous n'allons pas jouer au jeu des comparaisons, mais en cybersécurité, sur un marché tres dynamique, il faut des offres, des solutions via des alliances et ... des clients. Trend Micro est au centre de ce tourbillon énergétique.

 

 

Précisément, Trend a déjà signé des alliances avec des géants du IT tels que Microsoft , Amazon, IBM aussi mais çà donne combien de nouveaux clients pour Trend fin 2015 ? 

Ecoute, ces alliances globales sont reconduites et pour trois d'entre elles amplifiées en 2016. Microsoft par exemple intégre désormais les solutions Trend dans l'Azure Center et certaines solutions de Trend Micro s'interfacent au cœur de certaines technologies Cloud de Microsoft. La même chose pour VMWare et l'offre de Cloud public AWS. Quand ces géants avancent, ils demandent à Trend Micro de les accompagner pour sécuriser leurs clients…

 

 

Tu veux parler de votre offre Deep Security ? 

Oui précisément. Les offres securité de Trend Micro en environnement classique, virtuel ou Cloud Computing comme Deep Security intéressent bon nombre de partenaires pour sécuriser efficacement leurs offres (en Cloud public,  privé ou hybride). 

 

 

Si l'on évoque la sécurité des environnements virtuels, vous avez signé aussi chez Trend Micro avec l'incontournable VM/Ware. Ca donne quoi aux clients end-user ce type d'accord ? 

Une garantie de partenariat technologique entre Editeurs de premier plan, donc des produits alignés en terme d'évolution (avec NSX par exemple). Et pour le end-user, la garantie d'un support de premier plan, uni, sur des grands projets. Le meilleur exemple reste le retour d'expérience fait aux dernières Assises de la Sécurité de Monaco, où je présentais ce cas précis, avec le Ministère de la Défense français.

 

Un autre partenaire, Amazon, est également apporteur d'affaires pour vos solutions ? 

Oui, à la hauteur de leur présence en France.

 

 

Ce jeu des alliances peut finir mal dans la mesure où il faut pour Trend Micro faire cohabiter en tant que partenaires des acteurs concurrents. C'est le cas avec IBM et HP notamment depuis que Trend a racheté TippingPoint à HP pour développer son offre IPS…

C'est là un peu particulier car il nous faut éviter de « froisser » le mastodonte IBM avec qui nous collaborons depuis très longtemps en fourniture d'OEM. Cela dit, nos alliances restent actives simultanément avec ces deux acteurs majeurs. Chez IBM, DeepSecurity remplace par exemple la solution historique d'IBM Virtual Server Protection. En sabir IBM, c'est le "recommanded migration path pour l'ex Phantom Project" ; clin d'œil aux anciens d'ISS.

 

10 ans après le rachat, IBM repense actuellement sa stratégie sécurité...

Oui, elle est très active depuis les US avec les travaux autour de de la X-Force notamment. Mais aussi le retour vers une sécurité centralisée sur des mainframes, ce qui constitue un axe fort de leur réflexion. 

 

 

Tu penses aussi en tant qu'ancien d'IBM que l'on peut fédérer l'essentiel des fonctions sécure sur un mainframe ?  

Oui, c'est possible notamment pour les aspects liés à la cryptographie. Certains aspects de la sécurité sont très liés aux logiciels dédiés, équipements spécialisés (HSM 4764). Il faut un temps machine optimisé et garanti, de l'isolation forte des fonctions, …  On est sur un modèle bunker. Maintenant, tous les SI sont ouverts, et à l'autre bout, on est sur des flux réseaux ; et c'est la guérilla.

On le constate avec notre solution Deep Discovery qui analysent les flux. C'est la "Network Defence Unit" qui sait aussi recourir aux technologies les plus innovantes. En 3 mots clés : DPI (Deep Packet Inspection), mais poussée à son maximum en terme de visibilité ; on fait du 360° sur tous les protocoles possibles. SandBoxing pour de l'analyse sous cloche : on dépoussière le possible code malveillant en cherchant par exemple si il va contacter l'extérieur, sur un C&C, pour exfiltrer silencieusement. Et R&D avant-tout : toutes ses innovations génèrent une réponse de l'attaquant, qui s'adaptant nous oblige à réagir dans notre protocole. Les malwares d'aujourd'hui se comportent en sachant qu'ils vont passer possibilement en SandBox. Certaines solution par exemple deviennent un nouveau trou de sécurité et potentiel d'attaque. C'est un comble !

(lien google zero project http://googleprojectzero.blogspot.com.au/2015/12/fireeye-exploitation-project-zeros.html)

En tâche de fonds, n'oublions pas la course aux 0 days et les grands mouvements en 2015 sur ces sujets.

(lien zerodium https://www.zerodium.com/program.html) et http://www.cyberisques.com/

 

 

En cette fin d'année, quel bilan dresses-tu pour 2015 et quelles perspectives tu distingues pour 2016 en plus de celles notées par la Corp. (cf section BONUS) ? Scada, OIV, Règlement Eur, Attaques sur les mobiles…Rien que sur les mobiles, tes petits camarades de chez Kaspersky Lab relèvent dans leur dernière étude qu'une attaque sur six de ransomware vise désormais un smartphone ou une tablette Android.

Encore une année où le mot clé aura été "Accélération". C'est vrai que la mobilité devient une cible stratégique pour les pirates même si en opposition les applis en mode cloud et les données protégées par les opérateurs se développent, la sauvegarde des données directe des devices mobiles posent un réel problème. La barre annoncée dans nos prévision 2016 est maintenant de 20 millions de malwares sur mobile !

 

 

Chez TrendMicro, vous suggérez quelle solution à ce problème de la sécurité sur les mobiles ? 

La containérisation reste la bonne approche ; surtout si elle s'accompagne d'un agent léger pour garantir un acces securisé avec notre mode « mobile workforce », sur Android bien sûr mais aussi sur iOS et autres plus exotiques.

Le modèle intrinsèque de sécurité de Android continue à montrer ses limites et contournements possibles très bien démontré lors de la dernière conférence française, modèle du genre, qu'est BotConf. Encore beaucoup de collaboration est nécessaire avant de voir un retour sur investissement…

 

 

Sur les autres thématiques Scada, IoT, OIV… bilan et perspectives ? 

Pour Scada, notre clé USB « Portable security » que je t'ai présentée à sa sortie il y a une bonne année maintenant, est déjà un succès. 

 

 

J'étais sûr que tu allais me dire çà. Il me faut des chiffres Loïc, des vrais svp :)

Ecoute, plusieurs milliers de nos clés USB ont été vendues en France en 2015. Au début, sur le modèle de pack de test : 1 à 3 clés pour les stations pilotes. Et depuis la 2ème partie de l'année, une grosse accélération sur forme de Pilotes, voire de projets mondiaux. Désormais chaque entreprises disposant de machines Windows ou Linux, non managés traditionnellement (sites distants sans bande passante, gestion d'automates pour SCADA/ICS) peut en posséder. 

Cette clé devient la clé a molette "sécurité informatique" des tous les automaticiens, en permettant de vérifier de façon non intrusive qu'aucun malware ne se trouve sur la station, et avec une restitution lumineuse (embout vert ou rouge, selon le scan) adaptée au contexte d'utilisation (audit ponctuel, campagne large, réception de nouvel équipement, accès pour maintenance par tiers…) 

 

 

Votre clé USB pourrait servir a authentifier les users aussi ? 

Oui pourquoi pas dans une prochaine évolution ; mais ce n'est pas la demande aujourd'hui. Il est demandé de la visibilité et de la reprise en main de ces environnements.

 

 

En environnement Scada, les offres se développent sur des FW dédiés entre les mondes des réseaux industriels et les réseaux bureautiques. Pas de traces d'offres de ce type chez TrendMicro pourquoi ? 

Effectivement, cela n'a pas été notre priorité. Si tu regardes attentivement les besoins des sites hautement sensibles ils s'intéressent à des solutions basées sur des diodes informatique hardware: le courant ne passe que dans un sens. D'ailleurs, il existe une jeune entreprise française pour ces produits que j'ai rencontré à l'AIEA à Vienne : seclabs* ou une référence EAL7+ de notre partenaire industriel Factory Systèmes. (http://www.factorysystemes.fr/produits/securiser/datadiode-protection-oiv/)

 

 

En BtoC comme en BtoB les offres en Iot ou objets connectés pas toujours identifiés comme utiles se multiplient. Sans aucun niveau de sécurité. Et vous laissez faire, pourquoi ? 

C'est vrai ; toutes les technologies ne sont pas prêtes sur les Iot. En 2016 on ne peut toujrous pas chiffrer correctement les données des IoT : la capacité de traitement reste faible ; les processus de gestion inexistants sans parler des interfaces peu conviviales. En fait, aujourd'hui tout passe par la box adsl, et nous travaillons là à aider les fabricants à intégrer des fonctions de sécurité. C'est une marché OEM discret mais important pour nous. (fonctions classiques de sécurité mais aussi filtrage dep packet inspection, bulle VPN en 4G entre les objets et l'utilisateur via le boitier adsl, …) 

 

 

Cher Loic, quel commentaire t'inspirent les prévisions de croissance rappelées dans Forbes (1) via les études du Gartner notamment ? 

Qu'on aura encore l'occasion de commenter ensemble ce marché incroyable de dynamisme, d'innovation mais aussi reflet de notre société actuelle (dérives comme tentative de remise en sécurité). On a annoncé dans nos prévisions ceci: Au moins une panne d'équipement intelligent grand public sera fatale en 2016 et malgré les besoins, moins de 50 % des entreprises devraient disposer d'un responsable de la protection des données (Data Protection Officer) au sein de leurs équipes d'ici à fin 2016.

 

 

Bloavezh mat !

 

  

 

1 - http://www.forbes.com/sites/stevemorgan/2015/12/20/cybersecurity%E2%80%8B-%E2%80%8Bmarket-reaches-75-billion-in-2015%E2%80%8B%E2%80%8B-%E2%80%8Bexpected-to-reach-170-billion-by-2020/

  

 

BONUS:

 

Trend Micro prévisions 2016 tendances cyberisques: 

http://www.trendmicro.fr/renseignements-securite/recherche/previsions-de-securite-2016/

 

SECLAB: http://www.seclab-solutions.com/

Rencontres Cyberisques : Arnaud Kopp Directeur Technique Europe du Sud, Palo Alto Networks

 

 

Rencontres Cyberisques : Arnaud Kopp Directeur Technique Europe du Sud, Palo Alto Networks

 

Arenaud-Kopp

par Jean Philippe Bichard

 

 

 

Une rencontre avec Arnaud Kopp ex-Cisco (et quelques autres références), c'est toujours un moment agréable ou culture IT et impertinence se mêlent joyeusement. Dans un restaurant discret de la porte Maillot à Paris, Arnaud se confie. Il est accompagné d'Anthony, son « coach » en Comm. Cet ancien journaliste s'est reconverti dans le « PR business ». Bonne pioche pour ce véritable « Pro de la Comm » qui de surcroit connaît les meilleures recettes d'Europe.

 

 

 

 

Cyberisques NEWS : Palo Alto Networks publie aujourd'hui une étude (1) sur le comportements non pas des IT Managers mais des « users ». Un approche originale. Comment se justifie t-elle ?

 

 

Arnaud Kopp : L'étude porte sur les entreprises de plus de 1000 collaborateurs en Europe (2) et interroge tous les utilisateurs en effet. Elle montre une grande différence de perception voire de sensibilité aux cyber-risques en fonction des pays. On voit que les deux tiers des employés n’ont pas encore conscience que chacun a un rôle à jouer dans la prévention des cyberattaques.

 

 

Est ce que tu penses que cà signifie que les politiques de sécurité sont parfois mises en échec par les users eux mêmes, plus que par des auteurs extérieurs d'actes malveillants ?

 

 

C'est une analyse intéressante effectivement. Il faut comprendre qu'on se situe au plan psychologique en tentant de comprendre les comportements des users et les points de friction qui existent. Au delà des différences culturelles par pays – les anglo saxons plus disciplinés peut être remettent moins en cause les règles – nous avons les différents profils qui interviennent. Ainsi, les périodes d'été sont plus « dangereuses » pour les entreprises interrogées.

 

 

 

Pourquoi ?

 

 

C'est personnel comme point de vue, mais les stagiaires jeunes et décomplexés plus présents dans les entreprises durant ces périodes sont peut êtres tentés d'utiliser leurs propres outils pour contourner certains « obstacles » mis en place par la DSI et les IT Managers pour protéger leurs données. Dans ce domaine, l’éducation des responsables est essentielle pour s’assurer que le raisonnement sous-tendant la politique est clair. 

 

 

Tu fais intervenir le « Shadow IT » comme facteur de risques ?

 

Ce n'est pas négligeable même si les intentions des auteurs ne sont pas perverses. Ces comportements d'utilisateurs demeurent marginaux et surtout n'ont pas comme finalité de nuire aux entreprises mais paradoxalement d'augmenter la productivité des auteurs ! En outre, les actions des employés n’ont pas forcément des répercussions visibles immédiatement, dans la mesure où les attaques se produisent souvent dans un deuxième temps. Du coup, les entreprises peuvent rencontrer quelques difficultés pour identifier l’origine de ces « cyber-menaces ».

 

 

 

L'étude montre que l'on peut atteindre une estimation proche de 25% d'utilisateurs qui avouent avoir déjà contourné les règles de sécurité. Çà signifie qu'au delà de la sensibilisation aux régles il faut faire comprendre que ces contraintes sont justifiées quelque soit le profil de l'utilisateur et son niveau de responsabilité ?

 

 

Oui et c'est toute la question de savoir si l'on fait un règlement en cybersécurité pour Tous ou pour certains en mettant de coté les « comptes a privilèges » par exemple. Il est évident que les entreprises doivent agir en 2016 sur le terrain de l’éducation en matière de cybersécurité. Nous recommandons 3 lignes directrices à la fin de l'étude (Lire l'encadré ci-dessous). Ces conclusions suggèrent que les employés hauts placés sont trop confiants et sont enclins à prendre des risques en partant du principe que “cela n’arrive qu’aux autres”.

 

 

 

Pour 2016, tu sens que les lignes des évolutions des règlements internes en cybersécurité peuvent encore bouger ?

 

 

Oui absolument. L’évolution des réglementations va faire la lumière sur ce qui se passe vraiment en Europe dans les prochaines années, et mettra ainsi un frein à ce type de comportement. Cela laisse également entendre que la cybersécurité est encore considérée par beaucoup comme une mesure prise pour l’entreprise, et non comme une ligne directrice qui doit être respectée par tous. 

 

 

@jpbichard

 

 

Les recommandations :

 

 

35,53 milliards de dollars... C’est le budget global que les entreprises européennes prévoient de consacrer à la cyber-sécurité d’ici à 2019.

 

  1. Mettre sur pied une stratégie en matière de cybersécurité axée sur la prévention des cyberattaques à chaque étape de leur cycle de vie.

  2. Exploiter des technologies de sécurité nouvelle génération qui permettent aux employés d’accéder aux outils dont ils ont besoin sans compromettre la sécurité de l’entreprise.

  3. Sensibiliser l’ensemble du personnel aux rôles clés qu’ils jouent dans la prévention des cyberattaques visant leur entreprise.

 

 

 

 

 

(1) Etude Palo Alto Networks 2015 / les chiffres a retenir :

 

Trouver l’équilibre entre sécurité et fonctionnalité

Si, dans un cas sur quatre, les auteurs de ces actions ont affirmé ne pas comprendre pleinement en quoi consiste un « cyber-risque » ou un risque pour la sécurité en ligne, la quasi-totalité des répondants (96 %) a néanmoins jugé que la cybersécurité devrait être une priorité pour leur entreprise.

Le principal motif invoqué par les employés pour expliquer le non-respect des politiques d’entreprise est la nécessité de recourir à un outil ou à un service plus efficace que celui utilisé par l’entreprise, ou le fait que ces outils étaient considérés comme les meilleurs sur le marché. Cette tendance est confirmée par les 17 % de répondants indiquant que la politique de sécurité de l’entreprise est frustrante et les empêche d’accéder à des outils et à des sites qui contribueraient à accroître leurs performances professionnelles. L’éducation des employés est essentielle pour s’assurer que le raisonnement sous-tendant la politique est clair.

Non-respect des règles de sécurité par les cadres supérieurs

Les résultats de l’enquête indiquent que tout employé, quel que soit son service ou son degré d’ancienneté, est susceptible d’entreprendre des actions contestables ou de se forger une opinion erronée. Dans un cas sur dix, les répondants ont déclaré avoir été témoins du non-respect des lignes directrices de l’entreprise par un cadre ; et à cette question, un cadre supérieur sur quatre a effectivement reconnu avoir exposé son entreprise à une menace potentielle en connaissance de cause.

Responsabilité

D’après cette étude, un dirigeant sur cinq (18 %) ne considère pas avoir un rôle personnel à jouer dans les efforts de son entreprise en matière de cybersécurité ; et en cas d’attaque perpétrée avec succès, seul un sur cinq (21 %) pense que l’employé à l’origine de la faille devrait être tenu pour responsable, la majorité des répondants (40 %) estimant que la responsabilité devrait être rejetée sur le service informatique.

Autres conclusions de l’étude

  • C’est au Royaume-Uni qu’on observe la plus forte proportion de répondants (35 %) déclarant ne pas comprendre pleinement en quoi consiste un « cyber-risque » ou un risque pour la sécurité en ligne. À l’inverse, la France enregistre le plus faible pourcentage (17 %).

  • L’Allemagne compte le plus grand nombre de répondants (38 %) déclarant avoir exposé leur entreprise à un risque potentiel en matière de cybersécurité, le pourcentage le plus faible (12 %) revenant à la Belgique.

  • Aux Pays-Bas, 28 % des répondants déclarent se sentir frustrés par la politique de cybersécurité de leur entreprise – soit un taux bien supérieur à la moyenne établie à 17 %.

  • Les employés travaillant dans la finance, le secteur des assurances ou les services professionnels sont les plus susceptibles d’enfreindre la politique de cybersécurité de leur entreprise, avec un taux de 21 % enregistré dans l’ensemble des pays.

  • Les répondants du Royaume-Uni sont les moins enclins à considérer qu’ils ont un rôle personnel à jouer dans la protection de leur entreprise contre les risques en matière de cybersécurité.

(2) - Méthodologie de recherche

Cette enquête a été menée en ligne par Redshift Research, au mois d’octobre 2015, auprès de 765 décisionnaires travaillant dans des entreprises comptant plus de 1 000 employés au Royaume-Uni, en Allemagne, en France, aux Pays-Bas et en Belgique.

www.paloaltonetworks.com.

 

Projet de stratégie nationale pour la sécurité du numérique annonce gouvernementale du 16 octobre 2015

 

 

Manuel-Valls-1-Cyberisques-NEWS

 

 

 

Projet de stratégie nationale pour la sécurité du numérique annonce gouvernementale du 16 octobre 2015

 

Beaucoup de louables intentions...

 

Cinq objectifs orientations ont été définies par Matignon et ses services dans le cadre du projet de stratégie nationale pour la sécurité du numérique dévoilé le 16 octobre: intérêt fondamentaux, confiance numérique et données personnelles, sensibilisation et formation, politique industrielle et internationalisation, Europe et stabilité du cyberespace. Reste à concrétiser ces intentions par des prises de position fortes à l'échelle européenne. A quoi vont correspondre les annonces de demain : effet d'annonce ou amorce d'une réelle stratégie ? Réponse demain avec Manuel Valls accompagné d'Axelle Lemaire. Certaines mesures évoquées dans le projet s'inscrivent dans la stratégie esquissée par le directeur de l'ANSSI Guillaume Poupard lors de l'entretien accordé à Cyberisques NEWS en juillet dernier (1)

 

Comme nous l'avions annoncé la veille, vendredi 16 octobre 2015, Manuell Valls a dévoilé de nouvelle mesures en matière de cybersécurité lors de la présentation de la stratégie nationale pour la sécurité du numérique. Extrait de l'allocution de Manuel Valls, Premier ministre:

(Lire pour nos abonnés l'essentiel de son allocution et les cinq objectifs stratégiques arrêtés dans la présentation de la Stratégie naationale pour la sécurité du numérique).

 

 

(le texte ci-dessous a été rdigé la veille la présenttaion, jeudi 15 octobre)

 

Suite à la cyber-attaque sur TV5 et quelques autres (près d'une centaine en France officiellement admises par Matignon) on peut penser qu'une prise de conscience au plus haut niveau de l’État va se traduire par des mesures fortes. Il y a un an, le gouvernement nommait Jean-Yves Latournerie au poste de préfet « cyber ». Mi octobre 2015, un projet de stratégie nationale pour la sécurité du numérique est rendu public. Selon les premières informations dont nous disposons à la veille de la conférence officielle, les mesures suivantes seront évoquées: création d'un groupes d'experts en numérique, élaboration d'une PSIE (politique de sécurité des SI de l’État), mise en place d'un dispositif d'assistance aux victimes de cyber-malveillance, identité numérique simplifiée, soutien aux solutions françaises de cybersécurité, permis internet relancé, grande cause nationale en cybersécurité décrétée... D'autres intentions plus politiques seront vraisemblablement dévoilées avec notamment les cyber-menaces économiques qui pèsent sur les entreprises européennes. Prise de conscience salutaire mais comment lutter efficacement dans un univers numérique dynamique ? Ces mesures suffiront-elles face au développement radical de tous les risques cyber ?

Pas évident au regard de certains cyber-risques tels que ceux constatés sur les données personnelles des français. Quelle est la position du gouvernement sur ce point apres l'annulation de l'accord Safe Harbor (2) ? L'administration Obama s'est prononcée le 8 octobre dernier contre la présence officielle de backdoors pour faciliter les « écoutes » (3). Autre point : comment lutter efficacement contre les risques énormes que constituent le cyber-sabotage ? On sait qu'il s'agit de risques stratégiques redoutés par les experts notamment sur les architectures ICS / SCADA. Comment protéger réellement les infrastructures vitales du pays ? Combien de SI industriels sont réellement protégés malgré la mise en place de protections spécifiques pour les OIV opérateurs d'importance vitale ? Ne parlons pas des risques bien réels constatés chaque jour via des cyber-attaques sur les patrimoines informationnels des entreprises européennes, souvent des multi-nationales impactées par des réglementations nationales.

 

GAF-1-Cyberisques-2015

 

Il est désormais urgent que les pays de l'Union s'organisent à l'échelle européenne. Bref la bonne volonté nationale aussi louable soit-elle ne suffit plus face à des cyber-risques mondiaux. Pour le gouvernement les enjeux de ce projet de stratégie nationale pour la sécurité du numérique doivent s'inscrire au niveau de l'Union européenne afin d'encourager la mise en place de projets européens (politique industrielle, législation sur la « confiance numérique » et les données personnelles, sécurité des patrimoines numériques des entreprises européennes, développer les formations spécifiques, encadrer sérieusement les objets connectés et les usages commerciaux des données de santé …) C'est en partie l'enjeu de l'économie numérique de demain qui se joue avec une autre menace remarquée par le projet gouvernemental. Elle concerne la captation de richesses immatérielles par un oligopole d'entreprises utilisant leur position dominante pour gêner l'arrivée de nouveaux entrant et capter la valeur ajoutée d'une économie naissante. Cette économie du futur se prépare aujourd'hui. Elle exploite déjà les données d'aujourd'hui pour offrir les services de demain. La maîtrise de ces données considérées comme une richesse numérique, peut ouvrir la voie à la déstabilisation économique voire à des formes sophistiquées de propagande. Cette maîtrise peut aussi ouvrir de réelles perspectives économiques dans le respect d'une culture européenne. Le bras de fer entre pays européens et GAFA (4) ne fait que commencer.

Jean Philippe Bichard

 

 

 La France se classe au 14e rang mondial des pays les plus actifs en matière de cybercriminalité (+1 rang en un an)

En France, si les grandes entreprises sont particulièrement concernées (59 %) par les attaques ciblées, il en est de même pour les PME (35,6 %). 24 vulnérabilités zero-day ont été découvertes sur 2014 et il a fallu en moyenne 59 jours aux éditeurs pour créer et déployer les correctifs. (source Symantec 2015)

 

 M-Valls-A-Lemaire

 

Extrait d'un document de travail sur le Projet de stratégie nationale pour la sécurité du numérique annoncé officiellement le 16 octobre 2015 par le Premier Ministre Manuel Valls

 Souveraineté :

Un État qui ne disposerait pas de l'autonomie nécessaire dans le secteur du numérique verrait sa souveraineté menacée.

 

 

Cybermenaces :

Rappel sur des cyberattaques sur les Ministères (dont Bercy) via l'un des réseaux du ministère pour collecter régulièrement des informations de nature politique, économique et financière.

 

 

Nouvelles cyber-menaces :

Captation de richesses numériques par un oligopole d'entreprises utilisant leur position dominante pour gêner l'arrivée de nouveaux entrants et capter la valeur ajoutée d'une économie naissante, celle qui exploitera les données. Menace qui dépend de la sécurité nationale.

 

 

Responsabilité(s) :

Une société massivement connectée donne une responsabilité à de nombreux français eux aussi connectés et susceptibles de commettre des imprudences. Trois communautés d'acteurs sont en particulier visées par des notions de responsabilités collectives.

   1.   Chercheur, intégrateurs, opérateur…

  1. Élus, gouvernement, acteurs des administrations centrales

  2. Usagers, acteur de la société civile.

 

 

Responsabilité de l’État (?)

- Garantir la liberté d'expression et d'action de la France et assure la sécurité des infra critiques

- Assurer la sensibilisation et la formation nécessaires à la sécurité numériques

- Favoriser le développement d'un écosystème favorable à la confiance numérique

 

Chiffres :

- depuis 2011, une centaine de cyberattaques d'importance ont été traitées par les administrations et prestataires de services compétents

- 100 000 objets nouveaux se connectent chaque heure à Internet

 

Annonces attendues (extraits):

- Création d'un groupe d'experts pour la confiance numérique avec compte rendu annuel au Premier Ministre

- Service de veille active en matière de sécurité des technologies et des usages

- Mise en place d'une Politique de sécurité de SI de l État (PSSIE) avec « indicateurs » fournis au Parlement. Projet de loi : obligation de comporter un volet cybersécurité.

  • Préparer le pays a une crise informatique majeure : réserve cyberdéfense, collaboration avec les CERT, NCIRC, OTAN… élaboration d'un corpus intellectuel relatif au cyberespace

  • La Banque de France pourrait intégrer dans sa cotation des entreprises un critère lié à la prise en compte du risque cybernétique 

 

Guillaume Poupart, directeur générale de l'ANSSI le 16 octobre lors de la conférence de presse:

"Nous traitons des cyberattaques de type TV5 Monde deux fois par mois"

"Cisco est un industriel fréquentable comme Microsoft et beucoup d'autres. Comme beaucoup d'acteurs non européens, ils ne demandent qu'a savoir jusqu'ou ils peuvent aller. Nous leur indiquons et nos échanges se déroulent dans la plus grande cordialité"

"A la notion de souverainneté européenne, nous préférons celle d'autonomie stratégique européenne"

.... 

 

L'intégralité du contenu de cet article est réservée à nos abonnés

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

BONUS :

1- Entretien de Guillaume Poupard avec Cyberisques NEWS :

http://cyberisques.com/fr/mots-cles-15/456-cyber-strategie-guillaume-poupard-anssi-pour-les-oiv-le-premier-ministre-presentera-des-la-rentree-une-serie-de-mesures-tres-concretes-afin-de-definir-des-feuilles-de-route-precises-pour-chaque-ministere

 

2- http://cyberisques.com/fr/mots-cles-29/464-la-cour-europeenne-vient-d-invalider-la-decision-adoptee-le-26-juillet-2000-n-520-2000-ec3-appelee-safe-harbor

 

3 - Backdoors « officiels » : la position américaine :

http://ww.washingtonpost.com/world/national-security/obama-administration-opts-not-to-force-firms-to-decrypt-data—for-now/2015/10/08/1d6a6012-6dca-11e5-aa5b-f78a98956699_story.html

http://apps.washingtonpost.com/g/documents/national/read-the-nsc-draft-options-paper-on-strategic-approaches-to-encryption/1742/

 

4 - GAFA:

 http://www.fabernovel.com/work/study-gafanomics-new-economy-new-rules/

 

Selon l'étude PWC 2015: le CEO incarne le role de "champion" du digital

31% des dirigeants affirment que leurs entreprises ont investi plus

de 15% de leur chiffre d'affaires dans le digital 

 

Selon 45% des dirigeants d'entreprise disent investir dans le digital avec pour objectif premier d'accroître leur chiffre d'affaires, tandis que seul un dirigeant sur cent énonce comme motivation première la volonté de créer la rupture dans son secteur ou un autre. C'est ce que révèle l'étude de PWC réalisée sur les réponses de près de 2 000 cadres dirigeants (responsables IT et chefs d'entreprise). La publication explore la capacité des entreprises à tirer parti des nouvelles technologies pour créer de la valeur. PwC a identifié 10 bonnes pratiques à mettre en œuvre pour que transformation digitale rime avec performance financière des entreprises.

Les dirigeants d'entreprise, à la recherche d'une croissance rapide de leurs revenus, investissent massivement dans le digital.

Les dirigeants d'entreprise prennent conscience que le digital est en train de bouleverser leurs activités. D'après la 18ème édition de l'étude mondiale annuelle « Global CEO Survey », 58% des CEO se disent préoccupés, en 2015, par la rapidité des évolutions technologiques, alors qu'ils n'étaient que 47% en 2014. 86% des CEO interrogés estiment qu'ils ont aujourd'hui pour rôle de promouvoir l'utilisation des technologies numériques au sein de leur entreprise.

73% des répondants de l'étude « Digital IQ » considèrent que leur CEO est aujourd'hui un « champion du digital », un chiffre en forte hausse par rapport à 2013 (57%). Ils mènent la transformation digitale de leur entreprise, en multipliant les investissements dans les technologies numériques. En effet, près d'un tiers des dirigeants interrogés (31%) affirme que leur entreprise investit plus de 15% de son chiffre d'affaires dans le digital.

Image-Instit-1

 

Les investissements sont désormais supportés majoritairement (à 68%) hors de la DSI, tandis qu'ils n'étaient que 47% à provenir des budgets des autres directions, comme le marketing ou le business développement, en 2014.

Les dirigeants ciblent les investissements fournissant une plus grande valeur stratégique. Ils sont 45% à placer la croissance du chiffre d'affaires en tête de leurs attentes, 25% à rechercher une amélioration de l'expérience client et 12% à viser une hausse de la rentabilité. En revanche, seul un dirigeant sur cent affirme que son attente numéro un consiste à créer la rupture dans son secteur ou un autre, ou bien à gagner la bataille face aux nouveaux entrants sur son secteur.

« En investissant dans les technologies numériques aujourd'hui, la plupart des dirigeants cherchent à accroître leurs performances financières à court terme, sans remettre en question leurs business model sur le long terme. Ils vont pourtant devoir changer d'attitude dans les années à venir s'ils veulent s'adapter au marché de demain », analyse Matthieu Aubusson, associé Digital Services chez PwC.

 

perception-diff-Transformation-Digitale-PWC-2015-Cyberisques-NEWS

                   

              

L'intégralité de l'article est réservée à nos abonnés. 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 Les 10 bonnes pratiques à mettre en œuvre pour que transformation digitale rime avec performance financière:

Les experts de PwC, Matthieu Aubusson et Loïc Mesnage, décryptent les 10 bonnes pratiques pour améliorer les performances digitales des entreprises. Les entreprises qui les respectent ont 50% de chances supplémentaires d'atteindre une croissance rapide de leurs revenus et deux fois plus de chances d'atteindre une croissance rapide de leurs profits.

1. Le chef d'entreprise se fait champion du digital.

« Les chefs d'entreprise sont de plus en plus nombreux à conduire la transformation digitale et à proclamer son importance pour toutes les activités de l'entreprise, au détriment des Directeurs des systèmes d'information, qui pourraient voir leurs responsabilités décliner progressivement », indique Matthieu Aubusson.

Si les DSI sont encore majoritairement en tête des efforts internes et externes dans le domaine du digital aujourd'hui (40%), cette proportion devrait diminuer (à 35%) au cours des trois prochaines années. Une majorité de répondants (65%) estiment qu'en 2018, les principales responsabilités du DSI se limiteront aux efforts internes en technologies de l'information.

2. Les dirigeants responsables du digital sont impliqués dans la définition de la stratégie.

Les chefs d'entreprise donnent le ton et fixent le cap de la transformation digitale, mais les directeurs opérationnels (Directeur des systèmes d'information ou Directeur du développement, le plus souvent) sont des acteurs de premier plan pour définir la stratégie digitale de l'entreprise.

« Certaines entreprises mettent en place un conseil du digital rassemblant les membres de la DSI et de la Direction marketing ou produit, qui travaillent en collaboration de l'élaboration de la stratégie digitale jusqu'à sa mise en œuvre opérationnelle », explique Loïc Mesnage, associé responsable du Consulting en Technologie chez PwC.

3. La stratégie digitale, alignée sur le reste de l'activité, est décidée et partagée au plus haut niveau de l'entreprise.

D'après Loïc Mesnage, « quand une entreprise et ses dirigeants travaillent tous vers un même objectif, les chances d'optimiser l'investissement sont plus élevées et il est plus facile d'identifier les domaines susceptibles de freiner la réussite, du fait de ressources redondantes ou, au contraire, insuffisantes. »

4. La stratégie commerciale et digitale est communiquée à tous les collaborateurs de l'entreprise.

Une stratégie ne vaut que si elle est partagée par tous. À l'heure actuelle, 69% des répondants affirment que leur stratégie commerciale et digitale est partagée à travers toute l'organisation. Ce chiffre n'était que de 55% en 2014 et 50% en 2013.

5. Un dialogue actif avec des parties prenantes est entretenu pour collecter de nouvelles idées et mettre en application les technologies émergentes.

« Les entreprises les plus performantes dans notre étude sont celles qui testent un nombre de technologies émergentes et adoptent une approche résolument tournée vers la technologie elle-même (69 contre 54%). Mais elles puisent également leur inspiration dans un large éventail de sources pour alimenter leur pipeline d'idées et entretiennent un dialogue actif avec les analystes sectoriels (63%), les clients (46%) et les écosystèmes vendeurs (44%) », analyse Loïc Mesnage.

6. L'investissement dans le digital vise avant tout l'avantage concurrentiel.

Selon Loïc Mesnage, « les technologies digitales sont autant d'opportunités de se différencier sur son secteur d'activités. Les technologies qui sont perçues aujourd'hui comme les plus stratégiques par les dirigeants tous secteurs confondus, à un horizon de 3 à 5 ans, sont relatives à la cybersécurité, à la collecte, à l'analyse et la visualisation des données, la distribution numérique et au cloud privé. »

7. L'ensemble des données sont utilisées de manière efficace pour créer de la valeur.

« Exploiter la valeur des données suppose souvent de les utiliser pour orienter ses choix stratégiques – par exemple, définir comment assurer la croissance d'une activité. Ceci continue de poser un défi à de nombreux dirigeants, qui citent des obstacles spécifiques en termes d'attitudes et de savoir-faire presque aussi souvent que les problèmes de qualité ou d'exactitude des données », explique Loïc Mesnage.

Les entreprises les plus performantes dans notre étude perçoivent mieux le potentiel commercial de l'exploitation des données, notamment les données de tiers (à 78%), les données du cloud (70%), les données issues des réseaux sociaux (69%) et les données de géolocalisation (64%).

8. L'entreprise fait preuve d'esprit proactif dans l'évaluation et la planification des risques en matière de sécurité et de confidentialité des données.

« À mesure que les entreprises s'entourent de nouvelles technologies et de nouveaux clients, partenaires, matériels et supports, le nombre d'interdépendances s'accroît et, avec lui, celui des risques. Les entreprises doivent donc faire preuve de proactivité en incluant systématiquement des risk managers et des experts en cybersécurité dans le développement d'un nouveau produit ou d'un nouveau service », analyse Loïc Mesnage.

9. Une feuille de route pluriannuelle, comprenant les compétences et processus business ainsi que les ressources digitales, est élaborée.

« Les progrès se font en dents de scie car si le digital s'impose progressivement dans l'entreprise, il est aussi plus fragmenté », estime Matthieu Aubusson.

Aujourd'hui, 53% des entreprises disposent d'une feuille de route complète, comprenant leurs capacités et leurs processus business ainsi que leurs ressources digitales, contre 63% il y a 4 ans.

10. Une mesure cohérente des résultats de l'investissement réalisé dans les technologies digitales.

D'après Matthieu Aubusson, « les dirigeants d'entreprise et leurs conseils d'administration exigent de constater la valeur tirée de l'investissement dans les technologies digitales. Démontrer les résultats suppose de combiner des outils de mesure traditionnels (le ROI par exemple) pour évaluer la réalisation des objectifs de croissance et d'autres, plus modernes (le « cybermetrics »), pour mesurer les transformations résultant de cet investissement. »

Loïc Mesnage conclut : « Le numérique est sur toutes les lèvres mais peu de personnes comprennent les bonnes pratiques qui, au plus haut niveau, génèrent de la performance. Les leaders du digital cherchent à comprendre comment leurs investissements d'aujourd'hui peuvent améliorer les résultats commerciaux de demain. C'est un état d'esprit essentiel, notamment à une époque où culture et technologies numériques se font omniprésentes. »

 

PWC-2-2015-Cyberisques-NEWS

....

  BONUS: 

Etude « Digital IQ »:

Pour la 7ème édition de l'étude « Digital IQ », 1 988 cadres dirigeants d'entreprise dans 51 pays ont été interrogés par PwC, entre juillet et septembre 2015. Les répondants étaient divisés équitablement entre les responsables IT et les dirigeants/chefs d'entreprise. 21% des répondants travaillent dans des organisations dont les revenus atteignent ou dépassent 1 milliard de dollars, et 52% ont des revenus compris entre 500 millions et 1 milliard de dollars.

Qui est PwC ? 

PwC développe en France et dans les pays francophones d'Afrique des missions d'audit, d'expertise comptable et de conseil créatrices de valeur pour ses clients, privilégiant des approches sectorielles. La raison d'être de PwC est de renforcer la confiance au sein de la société et d'apporter des solutions aux enjeux stratégiques de ses clients. Plus de 208 000 personnes dans 157 pays à travers le réseau PwC partagent idées, expertises et perspectives innovantes au bénéfice de la qualité de service pour leurs clients et partenaires. Les entités françaises et des pays francophones d'Afrique membres de PwC rassemblent 5 000 personnes couvrant 23 pays. Rendez-vous sur www.pwc.fr

« PwC » fait référence au réseau PwC et/ou à une ou plusieurs de ses entités membres, dont chacune constitue une entité juridique distincte.

Pour plus d'informations: www.pwc.com/structure 

 

ChinaCache, partenaire international pour réalsier du "cyber Business" en Chine

ChinaCache, acteur incontournable pour le cyber-business en Chine 

 

 

 

M. Li Dajiang, Directeur général de la région EMOA chez ChinaCache, explique comment s'ouvrir le chemin du marché chinois à travers le marketing sur Internet et le marketing numérique.

  

Les sociétés étrangères seront confrontées à un certain nombre d'obstacles en matière de réseau lorsqu'elles feront leur entrée en Chine pour développer leurs activités. Tout d'abord, au moment de s'engager sur le marché chinois, les sociétés étrangères seront confrontées à plusieurs questions telles que la longue distance, les nations et les opérateurs disparates pour ce qui est de la communication. Ensuite, les sociétés étrangères passeront par la censure des autorités publiques chinoises au moment d'entrer sur le marché local et devront faire avec le difficile IDCP, indispensable pour mener des activités commerciales. À ce stade, ces sociétés ont besoin d'un partenaire local de confiance.

ChinaCache, en tant que principal fournisseur de solutions complètes en matière de diffusion et d'application de contenu Internet en Chine, dispose de plus de 28 000 serveurs à travers le monde, couvre 118 grandes villes et villes de taille moyenne dans le monde entier, fournit des services de base d'application réseau pour plus de 30 000 entreprises tant dans le pays qu'à l'étranger, possède 37 brevets d'invention et les droits d'auteur de 23 logiciels et offre une bande passante de 6T.

 

 

PWC-1

Source PWC 2015

 

Exemple de coopération sino-germanique:

 

Les deux principaux thèmes d'un séminaire économique sino-germanique tenu en septembre 2015 ont été  « L'industrie 4.0 » et le « Fabriqué en Chine ».

À l'ère de l'industrie 4.0, alors que les deux pays connaissent un développement rapide dans les domaines de la science et du secteur de la technologie et de l'économie de l'Internet, il y aura forcément de plus en plus de possibilités de coopération pour les deux pays au cours des prochaines décennies. Les données publiées par le Bureau national chinois des statistiques ont démontré qu'entre 2010 et 2013, les investissements directs nets de la Chine vers l'Allemagne ont doublé, passant de 412,35 à 910,81 millions de dollars US, affichant une courbe de croissance toujours plus prononcée, ce qui signifie qu'un nombre croissant de sociétés chinoises sont interconnectées à l'Allemagne. ChinaCache, à travers son engagement en matière de services de service mondial et de soutien local, met en œuvre l'optimisation et la planification des ressources à l'étranger grâce à sa distribution commerciale dans les régions de base du monde entier, aide les sociétés chinoises à se mondialiser afin de résoudre de nombreux problèmes liés au service réseau et améliore pleinement la qualité d'accélération et de distribution du réseau. En plus de fournir un service d'assistance technique réseau et fort d'une riche expérience dans le développement, les services et les opérations à l'étranger depuis de nombreuses années, ChinaCache peut aider les sociétés chinoises à se fondre rapidement dans le paysage commercial local dès leur arrivée en Allemagne, afin d'établir une base solide et de se développer favorablement à l'étranger.

 

Tourné vers l'avenir, ChinaCache est certain qu'il peut aider les sociétés allemandes qui s'installent en Chine et les entreprises chinoises qui s'installent en Allemagne à faire face aux défis, à parvenir à un développement durable plus efficace et plus rapide et à contribuer à la coopération économique de l'Allemagne et de la Chine.

 

 

PWC

 

 

25 septembre (Chine) -- La Chine et les Etats-Unis consolident leurs échanges en matière de cybersécurité, avec comme objectif de faire de ce secteur un domaine d'avenir de leur coopération.

 

2015-SEPTEMBRE-XI-JINPING-CHEZ-MS-SEATLES

                                           le Président chinois Xi Jenping en visite au siège de Microsoft à Seattle le 23 septembre 2015

 

Le président chinois Xi Jinping, qui vient de réaliser sa première visite d'Etat aux Etats-Unis, a souligné l'importance vitale de la cybersécurité le 23 septembre 2015 lors d'une rencontre avec les participants d'un forum Internet à Seattle (US).

Le président chinois a précisé le role stratégique des technologies de l'information et notamment d'Internet pour la paix et le développement des pays. D'ou la nécessité de mieux contrôler le cyberespace. "la Chine et les Etats-Unis sont deux grands pays dans l'économie d'Internet. Ils ont des intérêts communs importants et un espace de coopération qu'ils doivent suivre en se faisant confiance" .

Lire aussi: http://cyberisques.com/mots-cles-17/465-rechercher-et-connaitre-des-vulnerabilites-0-days-pour-s-en-proteger-ou-pour-les-exploiter

  

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires