Prise de conscience des PDG, développement à l’étranger, traque des sites de contrefaçons, Internet des objets… Entretien avec Erwan Keraudy, CEO de CybelAngel, une entreprise spécialisée dans la détection de fuites de données et de piratages informatiques.
Propos recueillis par Philippe Richard
Selon une enquête du cabinet d’audit et de conseil PwC, les attaques ont progressé de 38 % dans le monde en 2015. La France est le pays le plus touché dans le monde ! Comment réagissent les entreprises et en particulier vos clients ?
Plus vous êtes connecté et plus vous êtes vulnérable. Ce constat est vrai quelque soit le niveau de maturité des entreprises pour protéger leurs données sensibles. Les attaques informatiques concernent tout le monde et particulièrement le secteur industriel car les enjeux économiques sont importants. Entre les différents types d’entreprises, on constate que les PME sont moins touchées, en volume. Toutefois, l’impact d’une attaque est plus fort car la perte d’un contrat a des répercussions importantes sur sa pérennité économique. Pour l’instant, les PME n’ont pas vraiment conscience de cette situation délétère, sauf lorsqu’elles travaillent pour des grands comptes qui les appellent pour se plaindre de fuites de données au sein de leurs réseaux. Dans ce cas de figure, la réaction est immédiate (et douloureuse) !
Par ailleurs, nous constatons depuis quelques mois une prise de conscience très forte au sein des grandes entreprises. C’est peut-être dû à l’effet Sony (en décembre 2014, des hackers avaient pénétré le système informatique de Sony Pictures, NDLR). Nous avons été contactés par de nombreuses sociétés du CAC40, mais aussi étrangères dont certaines ont été impactées indirectement par ce piratage. Cette affaire a aussi fait prendre conscience aux PDG de ces sociétés qu’ils pouvaient être « remplacés » après une attaque informatique comme ce fut le cas de Target, de Ashley Madison ou de Sony… Certains patrons nous ont avoué leurs craintes d’être les prochains sur la liste ! Pour de bonnes ou de mauvaises raisons, cette prise de conscience a un impact : elle rend concrète la menace nouvelle du cybercrime au sein de l’entreprise, et notamment pour les hauts responsables.
Une vingtaine de mois après notre premier entretien, quel est votre bilan ?
Nous avons vécu une année 2015 complétement folle avec de très nombreuses commandes. Nous réalisons 4 fois notre chiffre d’affaires prévu. Résultat, nous sommes 20 salariés et nous serons 30 à 35 l’année prochaine. Cette forte croissance s’explique notamment par le fait que nous « rapportons» cinq fois plus de d’alertes critiques à nos clients, par rapport à l’an passé. Cela signifie que nous nous sommes améliorés, mais aussi que ces entités se font encore plus attaquer. Quant à notre développement à l’étranger, nous avons notamment des clients belges, anglais, luxembourgeois et allemands. Notre objectif ambitieux est que 50 % de notre chiffre d’affaires soit européen en 2016.
Malgré des formations, des campagnes de sensibilisation, toute une panoplie d’outils censés tout surveiller, il y a toujours des fuites de données. C’est un échec ?
Non, je ne suis pas d’accord avec vous. Le constat est plus complexe car le périmètre de l’entreprise à protéger est devenu tellement grand qu’il est difficile à délimiter. Les groupes sécurisent mieux, en moyenne, leurs données. Toutefois, la démultiplication des échanges d’informations confidentielles entre les salariés, avec les filiales, les prestataires ou même les clients font que l’entreprise n’a plus la main sur cet espace. Nous scannons justement ce périmètre de façon automatisée. C’est un marché de niche, novateur et d’avenir. Nous ne faisons que cela et nous le faisons bien.
Il y a aussi d’autres solutions plus classiques pour résoudre des problèmes de sécurité différents. Par exemple, il y a des sociétés et des experts très compétents en matière de pare-feu, d’analyse de risques et de pentesting. Sans cette protection de base du périmètre, nous serions inutiles. Nous estimons apporter une solution complémentaire à ces protections historiques. Prenons une image pour comprendre ce que nous apportons à la protection des données sensibles de l’entreprise. Lorsque vous avez une base stratégique à défendre, vous pouvez construire une enceinte de protection, plus ou moins évoluée. Vous avez la possibilité de poster des miradors ou des gardes pour toujours surveiller l’entrée principale de l’édifice. Avec ces deux options, vous obtenez une défense qui sera parcellaire. Mais si vous décidez d’avoir une défense plus complète, il vous faudra aussi ajouter des caméras de surveillance à l’extérieur ainsi que des détecteurs de mouvements. Enfin, pour élargir encore votre spectre de surveillance, vous pourrez ajouter des radars longues portées pour prévenir des attaques en cours ou en approche. Cette approche complémentaire enrichie la défense du patrimoine initial.
Le pouvoir de pédagogie de l’ANSSI
En ce qui concerne les campagnes de sensibilisation, il est important de rappeler que l’ANSSI compte des experts très compétents et réactifs. Par ailleurs, cette agence a un pouvoir de pédagogie très pertinent auprès des grands groupes.
Quant aux formations, la sensibilisation de masse auprès de l’ensemble des salariés à l’aide d’une session unique et impersonnelle m’apparaît dépassée. Il semble plus judicieux de sensibiliser en priorité les collaborateurs qui sont dans les radars des pirates. C’est ce que nous permettons en prévenant l’entreprise quand des informations sur l’un de leur employé est entre les mains d’acteurs hostiles. C’est une formation précise, efficace et qui permet une meilleure allocation des ressources en interne pour un groupe. C’est certainement plus efficace que de s’épuiser à former tous les salariés sans résultat qualifiable.
On parle de plus en plus de Deep Web et de Dark Web. Comme vous êtes des spécialistes, pouvez-vous expliciter ces termes ?
Pour être honnête, le Deep et le Dark Web sont des appellations marketing parfois galvaudées si on ne les définit pas ! Je vais quand même faire une distinction. Le Dark Web regroupe les canaux toxiques et TOR, que nous indexons. Grâce à cette surveillance, nous avons été les premiers au monde à repérer le piratage de Ashley Madison. Le pirate a diffusé un lien orphelin qui pointait sur une seconde page sur TOR. Nous avons prévenu tous nos clients puis nous avons fait la une de nombreux médias étrangers. Ce qui nous a permis d’être découvert par des entreprises internationales.
Quant au Deep Web, il concerne tous les objets connectés de la planète, et c’est là que nous récupérons le plus de données. Nous sommes d’ailleurs les seuls au monde à commercialiser nos analyses du Deep Web. Notre solution a été énormément améliorée. L’Internet des objets représente une sérieuse menace pour toutes les entreprises. Dès que vous connectez quoi que se soit à l’Internet qui ne soit pas sécurisé, nous pouvons l’indexer. Ces failles sont autant de vecteurs de fuites de données sensibles. C’est ce qu’a vécu, à ses détriments, l’un de nos clients allemands. Il avait constaté que l’un de ses fournisseurs faisait fuiter des informations sensibles du groupe. Ce fournisseur lui avait pourtant affirmé que l’accès n’était resté ouvert qu’une journée. Notre client allemand ayant des doutes, il nous a demandé de vérifier. Résultat, nous lui avons apporté la preuve que cet accès était ouvert depuis … six mois.
Pour l’instant, les objets connectés ne sont pas très sécurisés. Grâce à nous, des fabricants ont pu remarquer que certains de leurs prestataires ne configuraient pas correctement les appareils connectés et ils les ont avertis. D’autres industriels nous ont demandé de les prévenir dès que nous repérons des objets connectés non sécurisés.
Vous aviez aussi des projets dans le domaine de la détection de contrefaçons. Où en êtes-vous ?
Nous avons nos premiers clients depuis un mois. Le principe de notre solution est le suivant. Nous prenons n’importe quelle marque susceptible d’être contrefaite, nous la mettons sous surveillance pendant un mois et ensuite nous récupérons 2 000, 5 000 ou 10 000 sites vendant de la contrefaçon de cette marque. Nous pouvons les classer par catégories et par organisations criminelles. En temps réel, nous pouvons repérer un nouveau produit contrefait et mis en ligne. La technique qui consiste à surveiller les noms de domaine est dépassée, car la durée de vie d’un site de contrefaçon est d’un à deux mois. Avec nos informations, nous pouvons démontrer que six organisations génèrent 60 % du trafic illégal.
Nous nous contentons d’apporter l’information. Ensuite, des sociétés très compétentes pour faire fermer des sites ou établir des dossiers prennent le relais. C’est une approche nouvelle pour lutter efficacement contre la contrefaçon.