L’année 2022 n’a épargné ni les entreprises ni les organisations publiques en matière de cybersécurité : vols de données et ransomwares se sont multipliés. À l’heure du bilan, c’est pourtant la mobilisation des entreprises qui doit être saluée. Et qui ne devrait pas faiblir en 2023, alors que les investissements dans le secteur continuent de progresser, avec un impératif d’efficacité, rappelle Etienne Bonhomme, vice-président et directeur général de Palo Alto Networks France. Interview.
Que retiendrez-vous de 2022 en matière de cybersécurité ?
Etienne Bonhomme : J’utiliserai trois qualificatifs pour l’année 2022 : augmentation, accélération, complexification. La surface d’attaque des organisations augmente, le terrain de jeu grandit pour les attaquants. La transformation numérique des entreprises fait augmenter leur surface d’attaque et le contexte économique et géopolitique ne leur est pas favorable. Les attaques de LockBit 3.0 l’ont montré : la chaîne d’attaque est désormais très automatisée.
Les entreprises sont-elles désormais armées pour lutter contre ces nouvelles menaces ?
E.B. : Elles font face à une pénurie de talents, un véritable manque de ressources humaines pour faire face à la menace. Chez Palo Alto Networks, nous détectons chaque jour 224 milliards de menaces. Comment pouvons-nous penser qu’il y a suffisamment de ressources humaines pour lutter contre ce volume de menaces ? Il est impossible pour les entreprises de disposer des ressources nécessaires.
La bataille est-elle perdue d’avance ?
E.B. : Le cybercrime va coûter à l’économie mondiale pas loin de 10 000 milliards de dollars par an d’ici 2025. Cela inclut le déficit d’image, la reconstruction des infrastructures, le business perdu. Mon discours est noir mais factuel. Je ne suis pas pour autant alarmiste : les gouvernements prennent le sujet à bras le corps. L’inauguration du Campus Cyber, en début d’année, a aussi initié un mouvement d’ampleur en regroupant dans une même maison clients, fournisseurs de services et institutions pour travailler ensemble. La cybersécurité est comme un sport collectif : ce n’est pas parce qu’on a les meilleurs joueurs que l’on est les meilleurs en compétition. C’est une histoire d’énergie collective, de manière d’agir et interagir ensemble.
Quels signes positifs les entreprises ont-elles montré cette année en matière de cybersécurité ?
E.B. : Les entreprises se sont rendu compte que, face à la menace croissante depuis 10 ans, elles devaient se mobiliser. Elles se sont structurées pour prendre en compte ces risques et se préparer au pire. En 2022, elles ont surtout opéré un mouvement pour rationaliser les infrastructures de sécurité, être plus efficaces et éviter les angles morts. C’est une bonne chose car si les budgets dédiés à la cybersécurité ont augmenté, les entreprises n’ont pas toujours investi de la bonne manière : chaque fois qu’une menace apparaissait, une start-up se créait. Résultat, le marché est très fragmenté et les entreprises ont fini par empiler les couches logicielles. La cybersécurité est devenue un vrai plat de spaghettis quand on voudrait avoir un plat de lasagnes ! Or la complexité des infrastructures de sécurité est l’ennemi numéro 1 en matière de cybersécurité. Si le RSSI arrive à avoir sur une seule console de management l’ensemble des règles de sécurité, des solutions, des postures de sécurité qu’il peut appliquer de manière uniforme et très simple, le risque diminue drastiquement.
Quelles menaces les entreprises devront-elles redouter en 2023 ?
E.B. : D’un point de vue technique, les entreprises doivent redouter des menaces sur leur supply chain logicielle. On l’a déjà vu cette année avec les attaques Log4j et SolarWinds. Pour survivre à ces attaques, les organisations doivent devenir résilientes. Aux décideurs d’intégrer la notion de maîtrise des risques dans leur feuille de route pour les années qui viennent. Et de faire mieux travailler ensemble les RSSI et les métiers, qui ont des enjeux différents.
Quels défis reste-t-il à relever en 2023 en matière de cybersécurité ?
E.B. : L’accélération de la sécurité des accès. Gartner estime qu’en 2025, 80% des entreprises auront adopté une architecture zero trust, contre 20% en 2021. Le grand principe ? Accorder le moins de privilèges d’accès pour le plus de sécurité possible. Comme dans un aéroport, finalement : la carte d’embarquement et le passeport contiennent le numéro et l’horaire du vol ainsi que des informations sur le placement dans l’avion. Et c’est tout. Le voyageur n’a pas accès à l’intégralité de l’avion. Et son comportement est contrôlé en permanence. S’il tape sur le pilote, l’accès à l’avion lui est retiré. C’est difficile dans une architecture zero trust mais quand on sait que la quasi-totalité des attaques interviennent via des flux légitimes, c’est une vérification nécessaire.
Cela ne sera-t-il pas facilité par la plus grande automatisation des procédures cyber ?
E.B. : Oui, les SOC vont se transformer, ils pourront traiter seuls automatiquement la plupart des logs et laisser à l’intelligence humaine les cas les plus poussés. Mais il faut avoir de l’humilité. Nous disposons de bonnes compétences pour maîtriser la technologie… mais il va falloir s’équiper de bonnes machines. L’anticipation doit venir de la machine et de l’intelligence artificielle. Il faut donc constituer des data lakes pour faire du deep learning et éviter ainsi le patient zéro.
Biographie
Après plus de 10 ans passés chez Orange, d’abord en charge des clients grands comptes puis en tant que directeur général France de l’activité B2B d’Orange Cloud, Etienne Bonhomme a pris la tête en janvier 2022 de la direction générale française du spécialiste de la cybersécurité Palo Alto Networks.