Interview de Christophe Menant, DSI de transition et expert en cybersécurité, par Sophie Herrault – coach en motivation et intelligence émotionnelle et romancière (www.livre.sophieherrault.fr)

Sa démarche : Accompagner les entreprises pour une meilleure utilisation des outils informatiques.

1. Présentation de Christophe Menant

Sophie Herrault : Bonjour à tous ! Christophe Menant est DSI de transition et consultant en cybersécurité. Il intervient pour des entreprises de toutes de taille, des PME/PMI aux filiales des grands groupes internationaux.

Sophie Herrault : Qu’est-ce qui t’a amené à suivre cette voie ?

Christophe Menant : La curiosité pour tout ce qui est technologique m’a amené à ça. Il faut savoir que la cybersécurité est aujourd’hui un des risques majeurs sur l’intégrité des données de l’entreprise. Il me paraissait vital de m’y intéresser.

2. La cybersécurité : un enjeu stratégique pour les entreprises

Sophie Herrault : Pourquoi la cybersécurité est-elle devenue un enjeu stratégique pour les entreprises ?

Christophe Menant : Cela conditionne leur survie. Aujourd’hui, les outils informatiques se sont déployés sur un spectre très large au niveau des entreprises rendant la surface d’attaque encore plus importante. C’est devenu d’autant plus critique avec le télétravail ces derniers mois, car cela ouvre encore plus de portes vers le monde extérieur. Actuellement, un arrêt total de l’informatique d’une société la met en risque de disparaître à court terme. Selon les dernières statistiques de la gendarmerie, 60% des sociétés ayant subi une cyberattaque dépose le bilan à 6 mois.

3. Qu’est-ce que la cybersécurité ?

3.1 Comment définirais-tu la cybersécurité ?

Christophe Menant : La cybersécurité, ce sont tous les risques et menaces arrivant de l’extérieur de l’entreprise et principalement par tout ce qui est connecté par internet (d’où le terme cyber).

3.2 Que recouvre-t-elle exactement ? Quel est son périmètre ?

3.21 La messagerie

Le périmètre est principalement axé autour de ce qui est messagerie : l’hameçonnage (techniques d’ingénierie social pour vous faire communiquer des informations, identifiants et mots de passe personnels), les faux ordres de virement, les pièces jointes corrompues et arnaques avec des liens malveillants. Un autre vecteur connu sont les sites internet avec du code corrompu malveillant qui fait généralement suite à un mail d’hameçonnage où un utilisateur a cliqué sur un lien.

3.22 Les attaques directes

Les attaques directes qui visent à compromettre le système d’information sont plus réservées à des cibles ayant une forte valeur technologique ou de niveau étatique. Par exemple, un sous-traitant a subi une cyberattaque sans s’en apercevoir, non pas pour lui-même mais pour pouvoir atteindre Airbus avec qui il était en liaison informatique : il a servi de cheval de Troie (il est cependant juridiquement responsable des conséquences).

3.23 Les clés USB

Il y a aussi les clés USB qui, de par leur simplicité d’utilisation et leur caractère universel, sont un risque majeur auquel il convient de prêter la plus grande attention dans leur utilisation, tout comme les gadgets électroniques se connectant à un port USB et donnés ou mis à disposition dans des lieux publics (borne de recharge de téléphone portable).

3.24 Et tout ce qui est connecté à Internet

De façon générale, tout ce qui est connecté à internet est potentiellement un risque. Par exemple, les imprimantes sont souvent exploitées à travers des contrats de service où la facturation et la gestion des consommables est faite à l’utilisation. Pour ce faire, l’imprimante est connectée à la société qui la loue. Ces équipements étant très peu sécurisés, c’est une porte d’accès supplémentaire vers l’extérieur qui peut servir de vecteur de compromission.

4. Comment mettre en place une politique de cybersécurité ?

Christophe Menant : La plus grosse faille dans le système est l’homme, il est le facteur clé.

4.1 Déterminer les systèmes et données critiques

Il convient de déterminer quels sont les systèmes et données critiques au sein de l’entreprise, c’est-à-dire ce qui est à protéger en priorité. Quand on parle de protection, on parle de protection active (pare-feu, antivirus…) et donc de protection passive rattachée à tout ce qui est résilience (PCA – Plan de Continuité d’Activité, PRA – Plan de Reprise d’Activité, sauvegardes…).

4.2 Définir les moyens en fonction des risques

Ensuite, il faut définir les moyens qui permettent de retrouver la pleine utilisation et contrôles de ces systèmes et données critiques dans un délai donné, ce délai devant dépendre de la criticité définie en amont. Autrement dit : où bout de combien de temps ces outils informatiques doivent de nouveau être exploitables avant que cela ait des conséquences sur la survie de l’entreprise.

4.3 Valider régulièrement l’ensemble des processus

En troisième lieu, en fonction de la taille de l’entreprise, l’ensemble des ressources dédiées à la cybersécurité seront internes ou externes. Il est important d’avoir régulièrement des exercices de gestion d’une crise cyber afin de valider l’ensemble des processus. L’ANSSI (* – Agence Nationale de Sécurité des Systèmes d’information) est le garant de toutes les bonnes pratiques à appliquer dans le monde cyber.

5. Trois bonnes pratiques pour « cybersécuriser » son entreprise

Sophie Herrault : Quels sont selon toi, les trois bonnes pratiques à mettre en œuvre pour un dirigeant et ses équipes ?

5.1 Sensibilisation

Christophe Menant : Faire prendre conscience à l’ensemble des collaborateurs de l’ensemble des risques et menaces existants car tout le monde utilise l’informatique d’une façon ou d’une autre. Cela peut se faire via des séminaires, des cessions de type MOOC, tout partage d’information sur ce sujet.

5.2 Prévention

Faire comprendre et accepter les bonnes pratiques au quotidien. C’est de la communication permanente en interne, des rappels réguliers (par exemple, rendre robuste les mots de passe et les faire changer fréquemment). S’assurer également de la bonne application de la politique de sécurité (PCA, PRA).

5.3 Formation

Accompagner l’ensemble des collaborateurs à utiliser des outils de sécurisation intégrés à leurs solutions métiers. La multiplicité des mots de passe peut notamment être gérée plus facilement avec des solutions de gestionnaires de mots de passe qui permettent une sécurisation des accès. Dans ce domaine, une des solutions recommandées par l’ANSSI est Keepass.

6. En savoir plus sur Christophe Menant

Sophie Herrault : Peux-tu présenter un peu plus en détail ton activité ?

Christophe Menant : J’accompagne les sociétés à mieux vivre au quotidien avec leur système d’information en améliorant l’efficacité et l’évolutivité des solutions en place. J’interviens en tant que responsable informatique de transition pour conduire des projets de changement.

Sophie Herrault : Pour les gens qui veulent te contacter, comment peuvent-ils te retrouver ?

Christophe Menant : Je suis présent sur le réseau LinkedIn et vous pouvez y retrouver mes coordonnées email ou téléphone.

LinkedIn : https://www.linkedin.com/in/christophe-menant-81101522/

Sophie Herrault : Un grand merci Christophe d’avoir répondu à mes questions et satisfait la curiosité de mes lecteurs !

(*) ANSSI : https://www.ssi.gouv.fr/

7. Autres articles en lien avec les enjeux d’entreprise (interviews de dirigeants)