3 questions à Jean-Sylvain Chavanne, nouveau Directeur de l’Agence Grand Ouest CEIS Cyberdéfense
Face aux cyberattaques, le Security Opérations Center (SOC) basé à Brest est la réponse de CEIS* Cyberdéfense pour accompagner les PME et ETI en matière de sécurité numérique. Il propose une offre de détection des attaques et de management de la sécurité basée sur le niveau de risques propre à chaque entreprise. Une offre qui s’adapte aux besoins et au budget de chacun.
Jean-Sylvain Chavanne est diplômé d’un master en droit privé et sciences criminelles, ainsi que d’un master de science de cybersécurité de l’ITESCIA (école du I-management). Il a passé six ans à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) comme délégué à la sécurité numérique pour la région Pays de la Loire. Il enseigne également à l’école de guerre économique de Paris, l’Université Paris Dauphine et le CNAM. Il a écrit le manuel de l’Intelligence économique aux éditions PUF… Il a récemment sensibilisé les salariés de Lemer Pax aux cybermenaces lors de présentations dans l’entreprise.
Vous êtes venu à notre rencontre, à deux reprises, lorsque vous étiez le référent de l’ANSSI en Pays de la Loire. Aujourd’hui, vous prenez la direction d’un centre de sécurité opérationnel à Brest. Quels services pourriez-vous proposer à une entreprise comme Lemer Pax en matière de sécurité informatique pour contrer la cybercriminalité ?
Lemer Pax est attentif à ces questions. Je m’en suis rendu compte lorsque je suis venu chez vous pour sensibiliser les salariés aux différents types d’attaque. Vous avez une charte informatique, avec un volet consacré à la sécurité, vos commerciaux connaissent les comportements à adopter, en particulier lors de leurs déplacements, et vous avez également instauré les bons réflexes, auprès de vos collaborateurs, lorsque les délégations étrangères viennent visiter votre siège. Ronan Epiard, l’Administrateur Sécurité Systèmes et Réseaux, a mis en place les procédures adaptées.
La maturité de Lemer Pax, face à ces questions de cybersécurité est, à cet égard, bien au-dessus de la moyenne. Mais, pour autant, l’étanchéité totale, face aux intrusions, n’existe pas. Les menaces sont protéiformes et les contre-mesures le sont aussi. CEIS* est une société de conseils en stratégie et management des risques qui développe son activité avec le lancement d’une offre consacrée à la gestion opérationnelle des risques cyber et la mise en place d’une équipe dédiée baptisée CEIS Cyber défense.
La maturité de Lemer Pax, face à ces questions de cybersécurité est,
à cet égard, bien au-dessus de la moyenne.
Nous pouvons imaginer, par exemple, que Lemer Pax puisse exporter dans un pays à risques en matière de cybercriminalité. Dans le cadre de notre offre, nous avons la capacité d’endosser le profil d’un sous-traitant de la filière nucléaire de ce pays pour tester la capacité de réaction de l’équipe de détection. L’objectif étant de préparer et mobiliser le personnel concerné devant un cas concret, mais virtuel, avant que l’attaque ne se déclenche. L’entraînement en amont est toujours plus productif que de fournir les résultats de simples tests d’intrusion.
Notre cellule CTI (Cyber Threat intelligence) – ou intelligence de la menace – étudie les modes opératoires des attaquants potentiels pour évaluer le risque d’une attaque venant d’un pays et d’un secteur ciblés. En termes de qualification d’information, c’est très intéressant pour le client. Nous recoupons une masse de données substantielle grâce à un méticuleux travail d’investigation réalisé par nos spécialistes en géopolitique, analystes, linguistes, russophones, arabophones et sinophones qui associés à l’expertise technologique, via le prisme numérique, performent notre offre de services en matière de cyberdéfense. Ensuite, nous fournissons à notre client un rapport complet en lui signalant les failles dans son système et les possibilités d’attaque fortes, moyennes ou faibles. Le client pourra hiérarchiser les menaces et établir une nouvelle feuille de route.
Plus généralement quelles offres proposez-vous aux PME/ETI ?
Le choix de CEIS à Brest est clairement de mettre de l’humain dans le processus. Il n’y pas d’autonomisation des systèmes de défense. Le numérique et l’expertise humaine analysent en synergie la vulnérabilité de nos clients. Lorsque l’on teste la robustesse du réseau d’une société, nous allons le faire au regard de son secteur d’activité et des menaces qui le concernent. Nos analystes apportent donc un supplément de compétences et une sensibilité particulière à ces questions. Le SOC (Security Opérations Center) de Brest récupère les journaux de nos clients et les analyse en temps réel pour lever des alertes si l’on constate des comportements anormaux. L’industrie, la défense, le maritime, l’agroalimentaire ou la santé, tous les secteurs sont concernés ! D’autant plus que la ville de Brest possède un écosystème attractif avec d’excellentes écoles d’ingénieurs, l’Université et l’historique implantation des Télécom dans la région.
Dans cet écosystème, nous avons co-fondé, avec notre partenaire Diateam, un centre d’entraînement opérationnel, qui modélise les typologies d’attaque, pour entraîner en simulateur les RSSI et DSI des entreprises clientes contre les cyberattaques mais cette fois de manière fictive. Bluecyforce est le premier organisme de formation professionnelle et d’entraînement à la cyberdéfense de France. On y simule des exercices de crise dans des formations qui vont d’une demi-journée à 5 jours. Car un logiciel que vous payez 100 000 euros sans pilote sera toujours inférieur à celui acheté 1 000 euros, si vous avez une équipe entraînée aux commandes, d’où l’importance de l’humain en complément de la technologie. Une menace anticipée coûtera dix fois moins cher qu’une menace subie. Nous ne proposons pas de forfait, nous nous adaptons aux cas particuliers. Dites-moi comment fonctionne votre système d’information, nous le modélisons et vous venez vous former chez nous. Nous travaillons déjà pour le ministère des armées, l’ANSSI et de grandes entreprises privées.
L’industrie, la défense, le maritime, l’agroalimentaire ou la santé,
tous les secteurs sont concernés !
Les entreprises françaises ont-elles pris la mesure des cybermenaces ?
Aujourd’hui, les entreprises commencent à prendre en compte la menace du risque cyber. En Pays de la Loire, dernièrement, une grande entreprise agro-alimentaire a subi une attaque qui a fortement perturbé son activité. Dans le même bassin d’emplois et dans un secteur d’activités équivalent, un autre fleuron de l’agro-alimentaire s’est soudainement dit qu’il fallait évidemment agir pour parer à une éventuelle attaque. Il y a inévitablement un phénomène d’entraînement. Votre voisin se fait cambrioler, vous pensez immédiatement à prendre des mesures anti effractions. Nous accompagnons les entreprises qui ont pris la conscience de ce risque dans leur montée en maturité. Difficulté supplémentaire, pour ce qui nous concerne, la cyber sécurité entre rarement dans une ligne de retour sur investissement et pourtant, la négliger aujourd’hui n’est pas une bonne idée.
Les dirigeants d’entreprise doivent avoir le risque numérique à l’esprit a fortiori lorsque le développement de l’activité s’effectue à l’export. Pour une entreprise comme Lemer Pax, en forte croissance, il est important de bien analyser les risques inhérents à ce changement de taille qui viennent s’ajouter bien sûr à ceux que l’on avait précédemment identifiés et à les confronter avec les nouveaux modes opératoires des attaquants. En clair, si vous ne vous intéressez pas aux cybermenaces ce sont elles qui s’intéresseront à vous. Les compagnies d’assurance l’ont bien compris.
En clair, si vous ne vous intéressez pas aux cybermenaces
ce sont elles qui s’intéresseront à vous.
*CEIS : Compagnie Européenne d’Intelligence Stratégique