Sébastien Bombal, Directeur des opérations, Orange Cyberdefense

 

Sébastien Bombal, Directeur des opérations Orange Cyberdefense

 

 

Entretien Jean Philippe Bichard Cyberisques NEWS 

 

Pourquoi la cybersécurité sur Scada devient elle réellement stratégique en 2015 ?

C'est une prise de conscience lente qui commence dans les années 2000. Au-delà des premiers papiers sur les risques d’un «cyber armageddon» souvenons-nous qu'en 2001 les tours de New York font prendre conscience du risque terroriste sur des infrastructures civiles vitales d’un pays . La France légifère en 2007 et cette étape constitue le début de la création des secteurs d’importance vitale et de la prise de conscience de l’importance de la sécurité des infrastructures industrielles et la prise en compte de leurs dysfonctionnements potentiels pour la nation. Puis en 2010, la cyberattaque avec Stuxnet et sa cible iranienne matérialise ce risque pour le politique et les décideurs. Nous sommes en 2015 et cette prise de conscience est totale, à travers notamment la LPM et les travaux de l'ANSSI en France. La France n’est pas en retard mais les US ont déjà des contraintes réglementaires fortes sur les industriels sensibles.

 

Quelles spécificités distinguez-vous en 2015 en matière de protection des SI SCADA ?

Il faut distinguer dans un premier temps les composant COTS (composants sur étagère) et les composants dédiés au monde « SCADA » tels que les automates et l’électronique embarquée (actionneurs / capteurs) sur les architectures « SCADA ». Il y a donc une base informatique importante dans les processus utilisant du « SCADA », suite à la numérisation de l’automatisme; reste que ces composants informatiques ont des cycles de vie assez courts. Ce qui constitue un premier paradoxe par rapport à des systèmes industriels qui ont, eux, des cycles longs. Un paradoxe qui cumule le « temps de vie » des composants, le « temps de développement » et de mise sur le marché d’un outil industriel, et un « temps de maintenance » de l’outil informatique qui n’est pas sur le même tempo que le cycle de maintenance d’usine. Il est ainsi courant de voir des outils industriels mis sur le marché avec des composants informatiques quasi obsolètes, qui vont devoir être opérés pendant des décennies, et subir des opérations de maintenance comme la mise d’un patch de sécurité une à deux fois par an (arrêt d’hiver / arrêt d’été d’une usine).

 

D'autres paradoxes « securitaires » existent sur SCADA : base installée ssn fonction sécurité, différence d'approches entre sureté et sécurité...

Oui, un autre paradoxe, le deuxième, ce sont les systèmes « SCADA » qui se focalisent sur la sécurité du processus, là où les systèmes de gestion se focalisent sur la sécurité de la donnée. Troisième paradoxe, en matière d'architecture et de conception de systèmes « SCADA », ils n’ont pas été prévus en terme de sécurité pour s’ouvrir, s’interconnecter, détecter voire résister à une malveillance. Aujourd'hui, en 2015, la majorité des SI industriels sous SCADA sont interconnectés entre eux, pour des besoins de « supply chain », de maintenance préventive, de flux tendus, via des réseaux bureautiques/corporates. Le niveau de risque n’est plus le même.  J'ajoute enfin un dernier paradoxe, le quatrième, constitué par les cultures des hommes qui gèrent les différents SI d'une organisation : informaticiens (sécurité de l’information) et automaticiens (sûreté de fonctionnement). Au-delà des cultures, le défi consiste à intégrer les risques identifiés sur les SI bureautiques au sein des architectures SI de type industriels (expertise de l’informaticien), mais aussi de raisonner en sûreté de fonctionnement (expertise de l’automaticien). Faire converger les mesures techniques de cybersécurité et les mesures électro-mécaniques de sûreté de fonctionnement est un véritable défi. On ne protégera pas un système industriel avec uniquement de la cybersécurité.

 

Que vont changer en terme d'organisation les décrets sur les SI industriels en cours de préparation à l'ANSSI suite à la promulgation de la LPM ?

Le décret et les arrêtés sectoriels vont obliger de classer les SI industriels de 1 à 3. la classe 3 étant celle qui touche les sites les plus sensibles pour la nation propres aux OIV. Reste que le législateur ne peut pas tout et que tout ne viendra pas de la sécurité informatique. Il faut raisonner avec les deux savoir faire : automatismes et informatique. Ces deux disciplines doivent cohabiter pour développer de nouveaux axes sécuritaires comme les boucles de sûreté indispensables au bon fonctionnement des SI SCADA sécurisés. Bref électronique, automatisme et numérique doivent cohabiter. Ceux qui visent des solutions à 100 % de numériques sur SCADA se trompent pour les raisons évoquées plus haut.

 

Les coûts liés à la mise en place de politique de sécurité en environnement SCADA demeurent rarement évoqués. Pourquoi et que proposent Orange Cyberdefense à ses clients ?

Cela reste du « sur-mesure » évidemment ; Mais vous avez raison, les coûts apparaissent plus complexes que ce que l'on perçoit. En fait, ils sont généralement supérieurs aux coûts de la sécurité, car un tel projet entraîne des mises à jour et une gestion de l’obsolescence massives, des choix d’équipements d’infrastructure avec de la sécurité native, etc... Au-delà de la sécurité, on tire très vite des coûts de matériels obsolètes, licences obsolètes, d’applications à faire évoluer pour segmenter et cloisonner les fonctions critiques, etc... J'ajoute qu'en environnement industriel, les coûts de préparation du projet de maintenance ou d’évolution de l’outil industriel supposent de prendre en compte le « métier » du client. Si une usine  pratique la production par lots ou séries, les interruptions volontaires exploitent des « fenêtres d’arrêt  » plus larges que pour une production en flux continu (pétrole, gaz, eau...) qui nécessitent des fenêtres d’arrêt complexes. La gestion de projet sera donc plus au moins coûteuse en fonction des contraintes de production.

 

En terme de renforcement des points vulnérables de SI sous SCADA, quelle approche technique privilégie Orange Cyberdefense auprès de ses clients ?

Il faut identifier et classifier les SI industriels, c'est la première opération, puis évaluer les impacts potentiels pour prioriser les efforts. Il faut ensuite privilégier la segmentation du réseau et des flux d’information (média amovible y compris), la gestion de l’obsolescence, la mise en place d’un contrôle d’accès logique, les moyens de télémaintenance et de mises à jour…. Il nous faut aussi identifier les outils et surtout prendre en compte les processus métier avec les zones critiques et moins critiques. Ainsi, une question aussi simple que de comprendre qui utilise l'outil, et avec quoi cet outil communique est primordiale. Un exemple typique de segmentation qui impacte les processus métier c’est le bureau d'étude qui accède à la bureautique et internet, travaille sur le procédé à venir et intervient sur la production en cas de problème. Tout faire depuis le même ordinateur n’est pas raisonnable !

 

Vous n'excluez pas que des malwares industriels se glissent dans les processus ?

Non, c'est effectivement un risque et déjà un réalité. Havex Stuxnet, shamoon… sont des malwares ciblant déjà des industriels. Mais si on se souvient de Conficker en 2008, il avait en son temps infecté des ordinateurs Microsoft de gestion, des outils industriels ou des windows embarqués dans des systèmes militaires. (1) L’injection d’un malware perturbant ou détruisant un outil de contrôle de commande industriel est un scénario crédible et avéré aujourd’hui.

 

Comment travaillent les équipes d'Orange Cyberdefense sur les sites industriels SCADA des clients dont bon nombre d'OIV ? Disposez-vous d'une méthodologie spécifique par exemple ? Appliquez-vous une philosophie du risque qui consiste a expliquer aux clients que les menaces cyber sont déjà présentes chez eux ? Préconisez-vous la mise en place de « cyber-war-room » ? Vous venez du nucléaire, votre expérience est très utile sur les sites sensibles...

Notre conviction est que l’incident se produira un jour, inévitablement. Notre différence, c'est la méthode. Les points importants pour nos client, c’est un accompagnement de bout en bout avec la puissance d’un groupe concerné par ces préoccupations critiques. La sécurité industrielle c'est du sur-mesure aujourd’hui. Nous n'en sommes qu’au début, et d’autres segments de marché s’ouvrent comme la sécurité des objets connectés. Ce sont aussi des capteurs et des actionneurs !

 

 

 

 

Pour en savoir plus sur cet article et accéder à votre contenu personnalisé profiter de notre offre :

 

 

 

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

 

 

 

Abonnement individuel par eMail personnalisé 40 envois / an

 

offre spéciale anniversaire887 Euros* au lieu de 1199,00 Euros

 

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

 

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX: synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale, sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels, solutions et investissements Secure IT stratégiques et "cyber war room", Cyber sabotage et réseaux industriels en environnement SCADA, taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique et réglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.

 


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

 

http://www.cyberisques.com/fr/subscribe

 

 

 

 

La première chose à faire pour sécuriser des SCADA, si ce n’est pas fait en 2015, c'est de réaliser l'inventaire et les premières évaluations (audit, cartographie…) puis de réfléchir à une gouvernance interne en incluant les aspects financiers et juridiques : qui va payer, qui va assumer le risque ?

Au-delà de l’accompagnement de bout-en-bout de nos clients, nous proposons aussi des solutions en service managé prenant en compte la souveraineté.

 

Orange Cyberdefense pourrait aller jusqu’à un engagement de résultats et pas seulement de moyens en matière de protection des SI sous SCADA ?

L'engagement de résultats est devenu une attente du marché aux US, il viendra fatalement en Europe sous la pression réglementaire des obligations d'alertes dont le délai de notification aux autorités sera de plus en plus court.

 

Propos recueillis par Jean Philippe Bichard 

 

Perception-risk-Cyberisques-19-FEV-2015

 

BONUS: 

Dans le secteur Entreprises, les revenus des solutions de sécurité d’Orange sont en progrès de +37% au 4ème trimestre 2014. Selon plusieurs études (Gartner, PAC, PWC..) la partie service du marche "cybersécurité" devrait croître de 8 % à 10 %  jusqu'en 2017. Les acteurs consolident leur position: IBM a racheté en 2013 Trusteer, Thales s'est réorgnisé et affiche 500 millions d'euros de chiffre d'affaires, Cassidian repris par Airbus avait déjà repris le français Arkoon pour ses technologies et sa base installée, enfin Capgemini positionne en cyberdéfense Sogeti Higt Tech et Euriware rachetée récemment et spaciaalisée ne cybersécurité en environnement énergie / nucléaire.

Lire aussi: http://www.cyberisques.com/fr/mots-cles-12/408-scada-et-milieu-maritime-une-cybersecurite-strategique

(1) http://secretdefense.blogs.liberation.fr/2009/02/05/les-armes-attaq/

 

 

Rapport "Partnering for Cyber Resilience Towards the Quantification of Cyber Threats" réalisé par Deloitte

 Rapport Deloitte sur la quantification des cyberisques

 

La cybersécurité a été l’un des thèmes majeurs du Forum économique mondial de Davos* alors que les menaces de cyberattaques se font de plus en plus présentes (lire http://www.cyberisques.com/mots-cles-8/400-400-milliards-de-cyber-dommages-en-2015-selon-la-lloyd-s ) Le rapport "Partnering for Cyber Resilience Towards the Quantification of Cyber Threats" réalisé par Deloitte à cette occasion, s’intéresse à la vulnérabilité des entreprises et les coûts liés aux piratages et vols de données.

Capture

Dans un communiqué adressé à la presse Deloitte annonce la mise en place d'une méthode déclinée en trois types d’évaluation : estimer la position et les actions de l'entreprise (vulnérabilité, audit de l’existant, moyens de défense…), comprendre la diversification des menaces et l'exposition aux risques plus importante qui désormais existe (qualification des niveaux de risques) et enfin estimer les coûts (Méthode Monte Carlo*)

Pour Deloitte, cabinet doté d'une forte culture de l'audit auprès de grands comptes, il s'agit d'adresser un message aux dirigeants d'entreprises françaises « encore  trop peu sensibilisés » à ces risques cyber analyse Marc Ayadi, Associé responsable IT Risk Advisory chez Deloitte. Il est vrai que la récente cyber-attaque sur SONY a démontré le niveau de complexité atteint par les cyber-attaquants.

Deloitte a cherché a travaillé sur un cadre de référence qui permet de recenser les différentes catégories de cyber-risques. « A partir d'une cartographie nous tentons d'établir un scorring à ces différents risques. Nous le réalisons notamment via des plate-formes de services en calculant les variables pour l'ensemble de ces risques » explique Marc Ayadi.

Si le rapport livre quelques pistes de réflexion,les cas concrets d'attaques via des outils de type APT ne sont pas abordés. En revanche les modèles mathématiques utilisés pour livrer des estimations et quantifier les impacts des cyber-attaques semblent novateurs. C'est notamment la cas avec la méthode MonteCarlo** appliquée à ces nouveaux risques cyber.

Cyber-resilience-1

 

 « 90 % des entreprises à travers le monde reconnaissent qu'elles sont insuffisamment préparées contre ces nouvelles attaques. La première étape vers un monde numérique plus sûr est l’identification, la cartographie des risques afin d’en limiter la vulnérabilité. Il faut se focaliser sur les risques les plus stratégiques, établir des plans de réaction et de repli , et mettre en place une gouvernance appropriée. » commente Marc Ayadi, Associé responsable IT Risk Advisory chez Deloitte.

*Davos-Klosters, Switzerland 21 - 24 January 2015

 

**Méthode MonteCarlo

 En mathématiques, on appelle méthodes de Monte-Carlo les techniques permettant d’évaluer une quantité déterministe à l’aide de l’utilisation de tirages aléatoires. C’est de cette idée de recours au hasard que vient la dénomination « Monte-Carlo », par allusion au célèbre quartier de Monaco réputé pour son casino... Historiquement, c’est en 1949 que le physicien gréco-américain Nicholas Metropolis et le mathématicien américain d’origine polonaise Stanisław Ulam publient l’article fondateur de cette méthode de calcul et lui donnent son nom. Pour être plus exact, l’idée de procéder à des tirages aléatoires pour évaluer des intégrales compliquées était dans l’air du temps parmi la communauté des physiciens, mais l’apport majeur de Metropolis & Ulam fut de proposer la technique d’échantillonnage préférentiel (cf. § I.5.c), qui améliore largement l’efficacité de la méthode. Pour l’anecdote, c’est dans le cadre des recherches du projet Manhattan sur le développement de la bombe atomique que ces chercheurs (avec quelques autres dont notamment John von Neumann) avaient commencé à développer leurs idées. Des développements importants des méthodes de Monte-Carlo furent l’algorithme de Metropolis – Hastings pour la simulation de certaines variables aléatoires en physique statistique (travaux dus notamment à Marshall Rosenbluth en 1953 et à Keith Hastings en 1970), algorithme qui à son tour fut la base de la méthode du recuit simulé (1983) pour trouver des extrema globaux de fonctions définies sur des espaces de grande dimension. Plus ré- cemment (2008), on a aussi parlé des méthodes de Monte-Carlo à l’occasion de leur utilisation dans des logiciels joueurs de go (très grossièrement, l’idée est que l’ordinateur évalue la qualité d’une position en imaginant que les joueurs terminent leur partie en jouant au hasard), où ces méthodes ont permis des progrès spectaculaires avec notamment le logiciel MoGo, développé au sein de laboratoires de recherche français.

Jean Philippe Bichard @jpbichard

 

BONUS :

Les cyberisques vus par un courtier : Willis

Needs Based Solutions

First cyber risk transfer solutions must be needs led, not product led.  This is because, until you know the cyber vulnerabilities of an organisation relative to the specific threats that organisation faces, you can’t really fill the gaps to the policy wordings as they exist (and most of these are thin and not standard).

Cyber Amplifies Many Other Risks

Second, cyber is not just a discrete risk but, perhaps more importantly, cyber is an enabler/amplifier/accelerator of risks that we are already embracing in our portfolio including but not limited to D&O; Crime BBB; the R in K&R etc. In combination, these things mean that successful cyber engagement is just as much about understanding the ramifications upon existing classifications of risk as it is understanding the new perimeter of cyber.

Cloud Risk

Speaking of new perimeter, cloud computing is rapidly becoming a key component of many organisations’ technology enablement strategies as they continue to seek differentiation in competitive markets. Cloud however is a significant issue from a risk perspective, both in the context of governance and compliance, for example, geographic location of data – are you sure where personnel data is resident, and is that consistent with the jurisdiction of geographies where client organisations operate?

Also in the context of distributed data across many cloud service providers means that accidental aggregation that can compromise the re-aggregated credentials is a real issue.

Cloud therefore constitutes an arena where we are only now coming alive to some of the dimensions of complexity with which we are going to have to wrestle in the coming 12 months. Helping guide clients through the maze of uncertainty to get to the right risk transfer solution is something that we all need to reflect upon.

http://blog.willis.com/2015/01/what-risks-will-emerge-in-2015/

 

Extrait : "Analyse des Cyber Menaces réelles pour les entreprises en 2015"

 

Cybersécurité : désormais un enjeu majeur pour tous les dirigeants

 

 

 

Quatre cas récents de cyberattaques « stratégiques » en 2014 placent l'ensemble des dirigeants des plus grandes entreprises mondiales devant leur responsabilité face aux attaques sur le patrimoine immatériels de leurs organisations et la chaine de cybersécurité qu'ils forment avec leurs partenaires, sous-traitants et clients.

 

 

On le sait, les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage lié au cyber-chantage.

Selon l'UE, En 2013, les cyberattaques sur internet à l'échelle mondiale ont augmenté de près d’un quart et le nombre total de violations de données était de 61 % supérieur à celui de 2012. Chacune des huit principales violations de données a abouti à la perte de dizaines de millions d’enregistrements de données, alors que 552 millions d’identités ont été exposées. Selon plusieurs sources spécialisées, la cybercriminalité et l’espionnage ont entraîné entre 300 et 1000 milliards de dollars de perte globale en 2013.La valeur des données personnelles des consommateurs européens serait en effet estimée aujourd'hui à 315 milliards d'euros et pourrait s'élever à 1 000 milliards d'euros en 2020.

  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Mme Neelie Kroes, vice-présidente de la Commission européenne, (@NeelieKroesEU)a déclaré le 30 octobre 2014: «La sophistication et le volume des cyberattaques augmentent tous les jours.Ces attaques ne peuvent être contrées si les États agissent seuls ou si seulement quelques-uns d’entre eux coopèrent".

 

 

 

Pourquoi les dirigeants sont directement concernés ? Mieux comprendre à la lumière de l'affaire NORTEL

 

Brian Shields, ancien conseiller principal à la sécurité chez Nortel croit que le déclin définitif de Nortel est du à une guerre des prix provoquées par une concurrence nouvelle mais aussi à une autre raison. L'ancien conseiller pense que la progression du géant des télécommunications chinois Huawei est proportionnelle à la chute de Nortel. Il soutient que le cyberespionnage qui sévit actuellement a aussi joué un rôle important dans cette affaire. Nortel était un joyau canadien dans la sphère technologique et c’est maintenant terminé. D’autres suivront si rien ne change, prévient Shields. « Une guerre économique sévit en ce moment et nous sommes en train de la perdre », insiste-t-il.

 

 

Cyber Risks & "Business impact" Quatre cas récents de cyber-menaces « stratégiques » en 2014: USINE METALLURGIQUE ALLEMANDE, SONY, MICHELIN, JPMORGAN CHASE

 

-18/12/2014  un rapport allemand publié le 18 décembre 2014 révèle une attaque informatique inédite contre une usine métallurgique. Le piratage a provoqué d'importants dégâts matériels sur un haut fourneau. Une usine métallurgique allemande a subi une cyberattaque sur son environnement Scada qui a provoqué des dégâts matériels conséquents, a révélé jeudi la publication d'un rapport gouvernemental allemand. Les pirates ont pris le contrôle du réseau de l'usine après avoir obtenu les informations nécessaires à l'aide de techniques sophistiquées d'ingénierie sociale. L'attaque a provoqué la défaillance de plusieurs composants qui ont empêché l'arrêt contrôlé d'un haut fourneau, endommageant l'infrastructure. ( Lire également : http://www.cyberisques.com/fr/mots-cles-11/390-cyber-chantage-aujourd-hui-23-decembre-2014-a-15h-le-groupe-anti-nucleaire-a-diffuse-via-le-reseau-social-twitter-quatre-fichiers-incluant-des-plans-des-reacteurs-1-et-2-de-la-centrale-de-kori )

 

 

- 24/11:2014 Les pirates qui ont infiltré le système informatique de Sony Pictures Entertainment l'ont complètement paralysé durant plusieurs jours. Ils ont "récupéré" selon des sources proches des "cyber mercenaires" 11 teraoctets de données à l'entreprise américaine, soit l'équivalent de près de 3000 DVD et de nombreux documents "personnels" et "stratégiques" propres aux employés de Sony. L'un d'entre eux détaillerait la liste des rémunérations de 6 000 salariés de Sony Pictures Entertainment, incluant celles de ses dirigeants et de son PDG, Michael Lynton, qui gagnerait 3 millions de dollars par an. Plus grave, la firme pourrait être victime d'un cyber-chantage suite à la diffusion de certains films qu'elle produit. Leurs contenus déplairaient aux "commanditaires" des "cyber-mercenaires" à l'origine de la cyber-attaque. ( Lire également: http://www.cyberisques.com/fr/component/content/article/78-mots-cles-promotionnels/386-hack-sony-heureusement-que-ces-types-n-etaient-pas-la-quand-chaplin-a-fait-le-dictateur )

 

 

- 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement (Fraude au Président). Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

 

 

- 8/10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire. Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois. (JPMorgan’s shares  JPM 2.15%  have lost 1.3% of their value since the end of August, when the attacks were first announced.)

 

Perspectives 2015:

 

 

En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces.

 

Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et fixer leurs priorités. Deux s'imposent: la protection des systèmes industriels SCADA et celle des données critiques (stratégiques et personnelles).

 

 

En effet, les données critiques sont à forte valeur ajoutée, l'or noir des entreprises pour certains éléments de chantage pour d'autres (cf affaire SONY décembre 2014) : plans d'acquisition et de cession, délibérations du Conseil exécutif, propriété intellectuelle, mails de dirigeants, contrats.... Ces données critiques correspondent à 70 % de la valeur d'une société cotée en bourse et s’avèrent extrêmement précieuses pour les cyber-attaquants – que sont les initiés de la société ou les attaquants sophistiqués.Même si le détournement d’actifs reste de loin la catégorie la plus fréquente (61 % des entreprises interrogées), on relève l’émergence de nouvelles typologies de fraudes plus complexes, la cybercriminalité qui arrive en seconde position (28 %) et la « Fraude au Président » qui est une spécificité française, avec un taux de 10 % et un coût dépassant parfois la dizaine de millions d’€uros. La fraude comptable étant invoquée par 22 % des entreprises interrogées et la fraude aux achats : 21 %.

 

 

Dans la catégorie des cyber-attaques APT (Advanced persistent threat) notons le développement d'exploits basés sur le développement de faux sites WEB (Cas du GIFAS Groupement des industries françaises aéronautiques et spatiales par exemple) avec des atatques de type Watering Hole (infections automatiques à partir d'un site via souvent un exploit Zéro day).

 

 

Les services financiers et télécommunications sont les secteurs les plus touchés par les fraudes externes ; la distribution et les biens de consommation pour les fraudes internes.

 

 

En ce qui concerne la « Fraude au Président », dans un premier temps, seules les grandes entreprises étaient ciblées. Depuis quelques temps, ce phénomène touche même les sous traitants et PMELes procédés sont variés sous couverts de courriels ou d’appels téléphoniques, votre interlocuteur se fait passer pour l’un de vos partenaires (Client, Fournisseur, Commissaire aux Comptes…) en vous communiquant de nouvelles coordonnées bancaires afin d’effectuer vos prochains règlements. 

 

 

Pour toutes les entreprises victimes de ces cyber-attaques, les préjudices financiers s'avèrent considérables en coûts directs ou indirects: atteinte à l'image de l'entreprise, dysfonctionnements des Systèmes d'information et Front Office, pertes d'exploitation, confiance entamée auprès des collaborateurs, partenaires, actionnaires et clients, pertes et vols d'informations stratégiques, avantages donnés aux concurrents...

 

 

Pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

 

 

 

 

CYBERISQUES.COM premier servicedeVeille "Business & Cyber Risks" pour lesdirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire887 Euros* au lieu de 1199,00 Euros

http://www.cyberisques.com/fr/subscribe

 

 

 

 

Cybersécurité: Trois tendances fortes pour 2015 en Europe (Extraits) :

 

 

 

 

1 - Evolution du Cadre réglementaire en Europe:

L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2.

 

 

Publication le 15 décembre 2015 de la Directive Européenne sur le renforcement de la protection des données: sanction prévue pouvant atteindre 5% du chiffre d'affaires en cas de non respect de la réglementation européenne:http://www.cyberisques.com/fr/component/content/article/83-categorie-3/337-edouard-geffray-le-futur-texte-eu-prevoit-comme-sanction-5-du-ca-en-cas-de-non-respect-de-la-reglementation-eu

 

 

 

 

2 - Données critiques, notification... des actifs nouveaux pour les solutions de transfert de risques et Cyberassurance :

La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information variable dans le temps. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie les informations-data comme une nouvelle classe d’actifs.

Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :


- dans le secteur des Technologies, Médias, Télécom (TMT)
- le secteur financier et des banques (en appui des régulations Bale et Sovency)
- le secteur de la dématérialisation (public, privé)
- le secteur industriel (M2M, SCADA)
- les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

 

 

 

 

3 - Evolutions de la perception des cyber-risques par les IT managers et membres des COMEX / CODIR:

Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de toutes les réflexions en matière de cyber-prévention. Selon une étude réalisée par Vanson Bourne pour NTT Com Security, 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne).

En 2015, la cybersécurité s'impose aux Comité de direction et COMEX/CODIR. De plus en plus de dirigeants perçoivent la cybersécurité comme un process de production, un atout marketing et un élément de différenciation fort. Par ailleurs la poussée réglementaire dans ce domaine encourage les chefs d'entreprise a prendre en compte les notions de prévention financière des risques (cyberassurance) et responsabilité civile pour leur propre "protection juridique". Certains responsables se sont vus condamnés suite à une cyber-attaque en raiso d'un niveau de sécurité “insuffisant de leur SI”.

Enfin, au plan économique, l"insécurité coûte de plus en plus chère: par attaque, environ 500 000 euros en moyenne en Europe pour de grandes organisations et 2,9 millions de dollars aux Etats-Unis en 2014 (Source NetDiligence). Il devient impératif de rassurer clients, partenaires et collaborateurs par un niveau d'excellence de la eRéputation des entreprises. Il faut également cartographier, identifier et protéger les "données les plus critiques" des entreprises, coeur de cible des cyber-attaquants.

Dernier point, 2015 sera peut-être celle d'un véritable débat sur... la Sécurité offensive. En clair pour connaitre au mieux les cyber-attaquants, attaquons les afin de disposer d'une vison précise de leur organisation. Sujet tabou qui divise. Pendant combien de temps encore ? D'autant que de plus en plus d'entreprises vendent des informations liées à ce type d'actions sans que les “acheteurs” posent évidemment la question de leur provenance (codes sources de malware et outils, binaires malwares inconnus, adresses IP de cibles potentielles, données exfiltrées, futures cibles, documents de “cyber-chantage”...)

 Pour info: http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html

 

Selon une etude de Deloitte publiée en décembre 2014:

 

  • 87% des dirigeants considèrent le risque de réputation comme le risque stratégique le plus important pour leur entreprise

  • 41% des chefs d’entreprises sondés reconnaissent qu’un évènement nuisant à leur réputation peut avoir des conséquences sur le chiffre d’affaires de l’entreprise

  • Seuls 19 % des entreprises sont confiantes dans leurs compétences en matière de gestion de ces risques aujourd’hui

  • 57% des chefs d’entreprises sondés souhaitent mettre en place des cellules de crises disposant d’outils d’analyse et de suivi de la marque pour anticiper et gérer les crises de réputation

 

 

 

Pour lire cette analyse dans son intégralité (témoignages de dirigeants, cas réels, vrais chiffres, retours d'expérience pistes de réflexions, solutions ..)

 

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire  887 Euros* au lieu de 1199,00 Euros

http://www.cyberisques.com/fr/subscribe

 

 

Très bonne fêtes !

 

Jean Philippe Bichard

rédacteur en chef cyberisques.com

  

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Dirigeants, pour retenir les informations stratégiques, prévenir et couvrir financièrement vos actifs immatériels critiques, le service VEILLE "Business & Cyber Risks" de Cyberisques.com vous informe personnellement par une sélection rigoureuse et des analyses rapides et sans concession des meilleurs experts.

L'information c'est ce qui réduit l'incertitude et nous le savons, l'incertitude a un prix élevé. Gagnez du temps et de l'argent en étant le premier informé.


 

Université de technologies Troyes (UTT) : des formations d'excellence et pluridisciplinaires en cybersécurité

Université de technologies Troyes (UTT) : des formations d'excellence et

pluridisciplinaires en cybersécurité

 

 

C'est un constat : la France manque de spécialistes de lutte contre les cybermenaces. L'université de technologies Troyes (UTT) depuis plus de dix ans s'est toujours montrée en pointe pour former et sensibiliser nombre de cyber-experts. Son directeur Pierre Koch insiste à l'occasion d'une présentation à la presse le 13 janvier à Paris sur la nécessité d'adapter les formations aux évolutions permanentes des besoins face aux cybermenaces. « Aujourd'hui, avec le fort développement d'objets connectés, de données non formatées et de protocoles peu sécurisés pour ces objets notamment, existe un besoin grandissant de comprendre comment sécuriser les connexions entre ces objets et leurs utilisateurs. C'est un des axes de développement dans nos recherches et formations. » Le directeur précise que l'UTT apporte des compétences complémentaires pour relever les défis de société en disposant notamment d'une position historique et sans équivalent en France sur la maîtrise des risques et les apports de la cybersécurité. Le directeur de l'UTT envisage pour 2016 le développement d'un nouveau cursus propre à la formation continue sur mesure avec des formats courts certifiants. Un projet qui s'inscrit dans la philosophie de l’université : de l'excellence sans élitisme*. Le volet européen n'est pas oublié avec le rôle « leader » de l'UTT dans le projet 2Centre (Cybercrime Centres of Excellence Network for Training Research and Education) en collaboration avec la Gendarmerie Nationale, Thales, C&S, Microsoft France, Orange et l’université de Montpellier.

Pour le Général d'Armée Marc Watin-Augouard Directeur du Centre de recherche de l’école des officiers de la Gendarmerie Nationale (CREOGN) et Président du Centre Expert contre la Cybercriminalité Français (CECyF) « L'UTT de Troyes forme une vingtaine de gendarmes chaque année qui recevront leurs diplômes des mains du Ministre de l'Intérieur à l'occasion du FIC* la semaine prochaine à Lille. Il faut comprendre que pour nous, dans la gendarmerie, Internet est non seulement une place a surveiller comme les entreprises veillent sur leur SI mais c'est aussi un vecteur de rumeurs via des messages à caractère raciste, antisémites qui font l'apologie de la haine. Nous devons donc veiller a ce qu'il demeure un cyber-espace de liberté. Ce qui suppose de cyber-sécuriser Internet ».

Des paroles qui prennent une résonance particulière six jours après le terrible attentat qui a coûté la vie à plus de 17 personnes policiers et journalistes après le massacre d'une partie de la rédaction de Charlie Hebdo. « Nous constatons que des messages de haine et d'incitation à des actes barbares se perpétuent sur les réseaux sociaux. Nous ne pouvons l'admettre. On voit que la lutte contre la cybercriminalité comporte non seulement un volet technique mais également une dimension humaine, sociologique et pourquoi pas philosophique » relève Marc Watin-Augouard qui précise : « Pour Nous, cette lutte se répartit selon trois tiers : procédure, technique, humain. »

Une approche confirmée par Florent Retraint, enseignant chercheur, responsable du Programme Scientifique et Technologique Cybersécurité de l'université de Technologie de Troyes. Pour cet universitaire réputé « il s'agit de mettre ensemble des compétences qui ne se croisent pas forcément afin de travailler unis au-delà de la formation à des recherches dans deux directions : mettre au point des outils de détection des cyber-menaces et développez des outils de « forensic » via des corrélation d’événements par exemple basés sur des graphs. spatio-temporels. » Le chercheur insiste sur la complémentarité des compétences en matière de recherche en cybersécurité. Au sein de l'UTT, existe un Programme Scientifique Cybersécurité de l’Unité Mixte de Recherche CNRS Institut Charles Delaunay (ICD). Une dizaine d’enseignants-chercheurs et quatre ingénieurs participent à ce programme. l’ICD met en relation plusieurs domaines des sciences de l’ingénieur et de sciences humaines : compétences en technologies de l’information, traitement statistique de l’information et sociologie.

Une dizaine de projets de recherche en cours (fonds privés et publics) pour un montant avoisinant les 2 M€ sont en cours de réalisation. Un plateau technique CYBERSEC permet de tester les solutions de sécurité développées.

 

UTT-1

 

 

Des cas réels comme cas d'école

Les équipes de Florent Retraint ont travaillé sur des cas réels qui pourquoi pas peuvent constituer des cas d'école. La cyber-attaque de décembre 2014 sur les SI de Sony Picture illustre cette approche (lire : http://www.cyberisques.com/fr/component/content/article/78-mots-cles-promotionnels/386-hack-sony-heureusement-que-ces-types-n-etaient-pas-la-quand-chaplin-a-fait-le-dictateur )

Dans le cas de Sony relève Florent Retraint, « il y a eu vol de certificats sans doute avec complicité interne et une exfiltration de 11 teraoctets en moins de quinze jours. Nous pensons que cela a été rendu possible techniquement par l'usage de certains outils liés par exemple à la stéganographie (dissimulation de données dans des images fixe ou vidéo) ce qui dans le cas de Sony est possible via les téléchargements de films ». Ce qui laisse penser à ce chercheur que chaque entreprise en fonction de son activité doit mettre en place une politique de sécurité qui lui est propre. Dans le cas de Sony, l'une des vulnérabilités spécifiques, c'est le transfert de données « multimédia vidéo » nécessitant de gros volume à transmettre, ce qui complique les controles.

Pour Florent Retraint les recherches menées en cybersécurité en 2015 touchent nécessairement plusieurs disciplines. Selon l'universitaire, au niveau des couches réseau et de l'adressage IP (Internet Protocol) le futur en cybersécurité serait carrément d'abandonner les aspects sécurité au niveau des adresses IP pour se concentrer sur le contenu transmis par les réseaux en s'appuyant sur des nouveaux protocoles de type ECM (Enterprise Content Management). « Le problème c'est que nous sommes à un moment charnière ou nous commençons tout juste a concevoir des produits avec la sécurité « in design » précise le directeur des études « Il nous faut donc ajouter des couches sécurité mais ce ne sera bientôt plus nécessaire quand les nouvelles générations de solutions auront intégrées des modules sécurité parfaitement homogènes avec le reste de l'architecture ».

 

Une formation d'excellence diversifiées

En matière de formation pure, Deux filières d’ingénieurs en sécurité informatique avec 60 diplômés par an sont opérationnelles à l'UTT. La filière « Sécurité des Systèmes et des Communications » propose de former des ingénieurs chargés de concevoir des systèmes sécurisés et administrateurs systèmes et réseaux chargés d'assurer la sécurité informatique; La filière « Management du Risque Informationnel » s’intéresse aux concepts, méthodes et techniques de traitement de la sécurité dans les systèmes d'information. Elle se propose de former des ingénieurs capables de concevoir, de mettre en œuvre, d'évaluer la sécurité de Systèmes d'Information.

Reza Elgalai, Enseignant – Ingénieur, Responsable de la Licence Professionnelle « Enquêteurs en Technologies Numériques » à l’UTT. Explique que deux grandes directions existent pour rejoindre l'UTT : 1 master et 1 licence Pro. Le Master SSI : « Sécurité des Systèmes d’Information » intégre 50 étudiants en 2ème année avec des possibilité d’alternance. Le programme intégre des notions d'analyse de risques, techniques de sécurisation, Obligations, cryptographie, risque internet, Intégration d’un module cybercriminalité sur la réponse à incident… Des partenaires tels que AGERIS, La Poste, ANSSI, GN, LEXSI, BNP Paribas, Cabinet Bensoussan … participent à ces cursus en déléguant des experts. Reza Elgalai souligne une forte demande en formation continue (VAE, VAP).

Pour la formation licence Professionnelle « Enquêteur Technologies Numériques » un Diplôme national unique en France est accordé aux étudiants en partenariat avec la Gendarmerie Nationale. Ce diplôme est réservé aux services d’enquêtes de certains états : Maroc, Belgique, Luxembours, Ukraine...En France, de nombreux ministères (Ministère de l’Intérieur, Ministère de la Défense, Ministère des Finances publiques, Ministère de la Justice). Cette formation basée sur un tryptique Méthodologie, Technique et Juridique explore les méthode d’enquête, recherche et préservation de la preuve numérique, analyse d’ordinateurs, de téléphones mobiles, de réseaux … sans omettre le cadre légal d’intervention. Elle correspond à 420h de formation sur 13 mois (présentiel et distant).

Jean Philippe Bichard

@cyberisques

 http://www.cyberisques.com/

 

 

 

BONUS :

 

http://www.utt.fr/fr/universite.html

L'UTT en chiffres

2600 étudiants
175 doctorants
24% d’étudiants étrangers
4504 ingénieurs diplômés
6 diplômes d’ingénieur
1 Master avec 9 spécialités
1 doctorat avec 3 spécialités
2 licences professionnelles
2 Master en alternance
154 enseignants-chercheurs
220 personnels administratifs et techniques
8 équipes de recherche au sein de l’Institut Charles Delaunay
60 contrats de transfert de technologie par an
183 partenariats universitaires internationaux
3000 entreprises partenaires
37 354 m2 de locaux

Dates clés

1994 : Signature du décret de création de l’UTT
1996  : 1er diplômé de l’UTT
1997 : Emménagement de l’UTT dans ses propres locaux
2000 : Création de l’Ecole Doctorale
2004 : Lancement de formations Master
2006 : Création de l’Institut Charles Delaunay (ICD)
2007 : Mise en service de la première extension du campus (halle sportive, halles industrielles, foyer étudiants, locaux d’enseignement et bureaux)
2009 : Passage à la gestion autonome prévue par la réforme universitaire
2010 : Certification des comptes
2010 : Création de la « Fondation partenariale de l’Université de technologie de Troyes pour la maîtrise des risques, les systèmes complexes et la sécurité globale »

 

Evènements a venir :

 

FIC 2015 (20-21 janvier 2015)

WISG 2015 (3 -4 février 2015)

RESSI 2015 (19-22 mai 2015)

 

 

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

@ATTYPIQUE    attypique   

 

ATTYPIQUE.COM  (Avec 2 T !) 

 

 

 

 

 

Portrait : Yazid Sabeg, le cyber-patriot

Cyberisques.com Portrait : Yazid Sabeg*, le cyber-patriot

*Président CS Communication & Systèmes

Je le connais depuis plus de vingt ans et à chaque fois le magicien Sabeg me surprend avec un nouveau tour. Yazid Sabeg, ancien commissaire à la diversité de Nicolas Sarkozy, peaufine son image de stratège habile. Ce capitaine d'industrie étonne toujours à presque 60 ans. Tour à tour ou parfois en même temps, conseiller, financier, industriel, cet homme ne cache pas certaines idées. Des idées qu'il propage depuis plus de trente ans dans les cercles du pouvoir. Vous ne pouvez pas entrer dans un lieu public en sa compagnie sans que une ou deux personnalités de premier plan dont nous tairons le nom viennent l'embrasser.

Le Président du conseil d'administration du groupe de services informatiques CS a toujours eu l'art de surprendre. Fils de manutentionnaire algérien, cet homme débonnaire, attachant, souriant et attentif se décrit comme 
« fondamentalement français et profondément maghrébin ». Parfois dans la lumière malgré lui, il acquiert en 1991 une entreprise en difficulté rebaptisée groupe CS (concepteur et intégrateur de systèmes critiques). Malgré des difficultés économiques, il s'impose dans les milieux de la Défense et des Télécommunications et aujourd'hui la cybersécurité. La publication récente de la LPM (Loi de programmation militaire) pour les OIV (Opérateurs d'importance vitale) va dans le sens d'un renforcement des protections des Systèmes d'information. Une orientation qui plaît  au Président de CS historiquement très spécialisé dans le « chiffre » et les services de confiance numériques pour utilisateurs "critiques". Grâce à ses développements de plate formes sécuritaires pour l'analyse et la sécurité forte CS se veut un partenaire français pour des entreprises françaises en priorité (84% du CA réalisé en France) dans des secteurs tels que la Défense et la Sécurité, l'Espace, l'Aéronautique, les énergies et l'industrie.

Discret, Yazid Sabeg ne cite pas ses clients. Il préfère parler du futur. Toujours. Selon lui, la puce qu'il s'apprête à mettre sur le marché en exclusivité et en première mondiale conçue et fondue en France chez Altis devrait révolutionner nombre d'usages au plan de la confidentialité et de l'authentification tant pour les mobiles que pour les infrastructures. Ses ingénieurs experts en nanotechnologies et chiffrement ont développé un HSM (chiffreur) de très haute performance qui pourrait séduire bon nombre d'acteurs "y compris américains" précise le "patriote Sabeg". Il est l'avocat d'une cybersécurité à base nationale qui doit se traiter désormais " au plus haut niveau ". Comprenez au niveau des États mais aussi dans les entreprises à l'échelle des COMEX / CODIR. Les récentes affaires de cyberattaques sur les patrimoines immatériels de Sony, Target, Michelin... montrent à quels points les Directions générales sont directement concernéespar les menaces des cyber-attaquants. Des groupes constitués de cyber-mercenaires qui opèrent à la demande. Cyber-espionnage, attaque à la eRéputation, cyber-chantage sur des données personnelles des salaries, cyber-vol de données stratégiques... désormais les cyber-risques sont des enjeux de plus en plus stratégiques pour le "business". A tel point que les cyber-assureurs y viennent avec la volonté de réaliser des transferts de risques cyber. Encore un business.

Et le business Yazid Sabeg le pratique depuis longtemps. Il l'a parfaitement compris. Et il le dit en endossant sans complexe les arguments les plus simples : " Sur Balard (futur Pentagon français près de la porte de Versailles à Paris) il n'y a que du Cisco et du Microsoft ".

Cyberisques.com-BALAD-2015

 

Entendez où sont les technologies européennes voire françaises voire issues des laboratoires de CS ? Évidemment les considérations patriotiques font partie du personnage. En fait une plate-forme "Prélude" de gestion des évènements stratégiques (SIEM) développée par CS sera installée au cœur du Pentagon français, mais ce n'est pas ce message que veut privilégier Yazid Sabeg davantage préoccupé par les contrats à venir que ceux déjà conclus. " Nous disposons de technologies exceptionnelles sur des OS (Operating System) durcis avec des routeurs capables de chiffrer voix et données sans affecter le très haut débit des flux de données qu'ils traitent. Cisco qui ne vend pas de sécurité nous envie " affirme le patron de CS en précisant " les chinois n'ont pas de recherche fondamentale , en France nous en avons une. Du coup c'est près de 200 000 ingénieurs chinois qui travaillent à une veille active sur les solutions du reste du monde et je ne vous parle pas de la NSA et de ses attaques. »  Attaques offensives entendez recherche d'informations par tous les moyens ce que la loi française sanctionne (lire l'article avec Thomas Girard, Chef du département Cybersécurité de CS). En véritable industriel français de la cybersécurité, Yazid Sabeg enfonce le clou : 

...

 

Pour en savoir plus sur cet article et accéder à votre contenu personnalisé profiter de notre offre

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Abonnement individuel par eMail personnalisé 40 envois / an

offre spéciale anniversaire  887 Euros* au lieu de 1199,00 Euros

offre spéciale anniversaire : http://www.cyberisques.com/fr/subscribe

Cyber Risks & "Business impact": il ont subi des cyber-attaques d'envergure en 2014: SONY, MICHELIN, JPMORGAN CHASE, TARGET, HOME DEPOT, ORANGE...

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel de la veille "Business & Cyber Risks" stratégique pour les dirigeants et membres des COMEX: synthèse rapide de l'essentiel de l'actualité de l'économie numérique mondiale, sélection des chiffres indispensables, financement des cyber-risques, cyber-assurance, protection juridique des dirigeant,protection des actifs immatériels, SCADA, solutions et investissements Secure IT stratégiques et cyber taskforce, protection et maitrise de données critiques des users VIP, veille cyber risks juridique et réglementaire, interviews stratégiques exclusives, jurisprudences, cyber-agenda... dans la boite mail de votre choix.


Pour suivre la première VEILLE "BUSINESS & CYBER RISKS"

http://www.cyberisques.com/fr/subscribe

 

...

paranoïa excessive courante chez les acteurs de la cyber-sécurité et de la Défense ou simple constat d'une réalité que peu osent décrire ? Une certitude même les concurrents français de CS ne sont pas épargnés par Yazid Sabeg " Les autres acteurs du marché ne maîtrisent pas toujours comme nous le chiffrement à la volée tel que nous le proposons sur notre puce. Ils ne disposent pas non plus d'une plateforme SIEM dont la souveraineté est reconnue par tout le monde et je ne vous parle pas de notre microchiffreur". Une puce qui pourrait aider à la vente d'équipements stratégiques ? "Oui" répond sans aucune hésitation le Président de CS " notamment sur les environnements des fameux avions de chasse Rafale de Dassault Aviation via une optimisation des liaisons radio au sol dominées aujourd'hui par les technologies de certains membres de l'OTAN " (entendez les solutions d'origine anglo-saxonnes). Direct et lucide, le Numéro Un de CS analyse " Nous avons perdu la bataille des équipements et des logiciels, ne perdons pas celle du chiffrement, de la miniaturisation et de la gestion des données souveraines des approches indispensables à la protection des systèmes d'informations stratégiques qu’ils s’agissent de matériels fixes ou embarqués ". Dernier message du cyber-patriot Sabeg avant de faire signe à son chauffeur qui... ne l'a pas quitté des yeux durant toute l'interview.

Propos recueillis par Jean Philippe Bichard / cyberisques.com

BONUS:

http://www.cyberisques.com/mots-cles-15/98-categorie-4/sous-categorie-4-3/389-thomas-girard-cs-qui-sait-utiliser-les-outils-en-cas-de-crise

 

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires