Innovaud Connect: Start-up et responsables d’infrastructures critiques ont échangé sur la cybersécurité

Les participants au récent Innovaud Connect, qui s’est tenu le 5 novembre à Y-Parc (Yverdon) lors de l'Application Security Forum (Appsec Forum), ont pu assister aux présentations des responsables de la sécurité IT de Romandie Energie, de Swissquote et de l‘Etat de Vaud. En charge d’infrastructures critiques, ils ont exposé les défis qu’ils devaient relever dans un secteur comparable à une jungle. Ou plutôt au Far-West, pour reprendre la métaphore proposée lors de la keynote par le Pr Pascal Junod de la HEIG-VD, expert en cryptographie. En matière de cybersécurité, les industriels n’ont effectivement pas intérêt à négliger les investissements dans différentes technologies pour se protéger des desperados sans foi ni loi (les cyber-pirates). Contre ces outlaws de l’ère numérique, entreprises et institutions publiques ont le choix parmi un éventail de solutions innovantes, dont celles présentées à l’événement par quatre jeunes pousses du cru: Sysmosoft, spécialisée dans la sécurité mobile; Crossing Tech, qui propose aux banques une solution pour interfacer leurs systèmes hétérogènes; Grapseo, qui développe un outil web sécurisé de collaboration à distance; Netguardians, éditeur de logiciels d’analyse comportementale.

Les dangers des mises à jour

Devant un auditoire des plus attentifs, André Bourget, CISO à l’Etat de Vaud, a expliqué que l’institution publique se devait de faire le maximum pour protéger les données personnelles des citoyens et les processus de l’Etat. Pour assurer cette mission, l’Etat de Vaud a mis en place l’an passé un security operations center (SOC). «Ce SOC doit être protégé contre une forme d’intrusion dont on parle peu, celle des fabricants de hardware et software qui récupèrent des informations lors des updates de vos systèmes. Ce sont les mêmes fabricants – américains, chinois et israéliens pour la plupart – qui  fournissent les protections contre ces menaces, ce qui pose problème», a observé André Bourget. Pour limiter ces risques, l’Etat de Vaud travaille notamment avec une société tierce suisse, qui s’occupe d’analyser les softwares avant téléchargement pour y repérer d’éventuelles failles. 

Le maillon faible: l’humain

Une table ronde animée par Rodophe Koller, rédacteur en chef d’ICTjournal, a succédé aux présentions. L’occasion de revenir entre autres sur les intrusions liées aux updates. Marc Furrer, Heat IT & Security de Swissquote, a révélé à ce propos: «Nous avons une politique de connexion avec l’extérieur extrêmement stricte. Nos systèmes clés sont fermés et les mises à jour automatiques bloquées.» Les intervenants ont en outre partagé leur point de vue sur les risques liés aux collaborateurs négligents. Pour Raffael Maio, COO de Netguardians, l’humain est clairement le maillon faible face aux cyber-menaces: «On voit aujourd’hui de plus en plus d’entreprises qui travaillent sur la formation de leur personnel, mais qui agissent également en amont, en faisant passer des tests psychologiques lors du recrutement pour repérer les penchants à la fraude des candidats.» Autre question discutée: les aspects relatifs à la sécurité sont-ils considérés suffisamment tôt au cours du développement d’un projet informatique?  Pour James Nauffray, CEO de Crossing Tech, la réponse est négative: «Il faut veiller à penser à la sécurité au plus tôt dans le design de l’application et de l’intégration.»

Ultime édition de l’Appsec Forum

En clôturant l’événement, Sylvain Maret, co-fondateur de l'Application Security Forum, a annoncé du changement pour l’an prochain. La conférence a vécu son ultime édition et va faire place à la Cyber Security Conférence, qu’organisera la CyberSec Alliance. Celle-ci se tiendra du 3 au 5 novembre 2015, toujours à Y-Parc.