Cybersécurité, comment se protéger ?

Guillaume Vassault-Houlière, CEO de YesWeHack, « Une cyberattaque peut conduire à fermer une société »

Enjeu majeur de la digitalisation des entreprises et des services publics, la cybersécurité est devenue une question centrale avec la multiplication des cyberattaques. Guillaume Vassault-Houlière, le co-fondateur et CEO de YesWeHack, nous livre sa vision du sujet. 

Guillaume Vassault-Houlière

54 % des entreprises françaises ont connu au moins une cyberattaque en 2021, recense le dernier baromètre de la cybersécurité en entreprise CESIN. Un chiffre qui a de quoi effrayer, au regard des conséquences que peuvent représenter ces attaques pour une société : demande de rançon, interruption du business, vol de données sensibles, ou encore détérioration du matériel informatique.  

Se prémunir contre ces événements néfastes devient une nécessité, d’après Guillaume Vassault-Houlière. Ce « hacker éthique » a lancé YesWeHack en 2015, la première plateforme de Bug Bounty. Auparavant redoutés, les hackers sont désormais récompensés pour chaque faille détectée (« prime aux bogues ») dans les systèmes informatiques des organisations. Le fondateur nous livre son approche de la cybersécurité, et de l’enjeu qu’elle représente pour notre société tout entière. 

 

Big média : La notion de cybersécurité véhicule beaucoup de fantasmes. Que recouvre-t-elle précisément ?  

Guillaume Vassault-Houlière : La cybersécurité comprend tous les moyens de protection des données sensibles et des systèmes informatiques. Le mot cyber renvoie à la technologie, mais c’est un abus de langage. La sécurité informatique est en fait un ensemble de processus au cœur duquel se trouve l’humain, l’utilisateur de cette technologie. C’est souvent là qu’une personne mal intentionnée va chercher à construire son scénario pour pénétrer un système. Une mauvaise configuration, une mauvaise utilisation peuvent créer une brèche exploitée par quelqu’un de malveillant. 

 

BM : L’humain est-il systématiquement le maillon faible en la matière ?  

GVH : Pas nécessairement. Cela dépend des scénarios déployés par les personnes à l’origine d’une attaque. D’une manière générale, les gens pensent que la cybersécurité est réservée à des experts. Tout le monde ne se sent pas concerné par le sujet, alors que ce n’est que tous ensemble que nous parviendrons à atteindre un niveau de sécurité et de maturité suffisant pour protéger nos entreprises. Pour ça, il faut développer une culture en matière d’hygiène informatique. Aujourd’hui, le premier risque d’assurance dans le monde, c’est le risque cyber, bien au-dessus des aléas de catastrophe naturelle. Une cyberattaque peut conduire une société à fermer ses portes. C’est donc une menace sociétale. C’est hyper important qu’on se sente tous impliqués. 

 

BM : Pour quelle raison ce risque cyber a-t-il pris une telle importance dans le fonctionnement de nos organisations ? 

GVH : Le délai d’implémentation de cette technologie sur le marché s’est aujourd’hui considérablement réduit. Pour rester compétitives, les entreprises ont dû accélérer les phases et les méthodologies de développement de leurs solutions informatiques. Il y a en supplément un déplacement massif de l’activité vers le cloud. Ces deux raisons combinées ont pour effet d’augmenter les surfaces d’attaque et la vulnérabilité des entreprises. Par conséquent, on se doit d’être plus vigilant mais aussi de développer une culture de « security by design » (sécurité par la conception) dans les entreprises. Sans oublier les enjeux de régulation, dont les niveaux de sécurité qu’ils imposent placent le sujet de la cybersécurité au centre des réflexions. Ils contribuent également à faire de la confiance que l’on porte à nos solutions informatiques un argument marketing. 

 

« Il existe aujourd’hui près de trois millions de postes non pourvus en matière de cybersécurité dans le monde » 

 

BM : Les cybercriminels semblent avoir une prédilection pour les hôpitaux… Quels peuvent bien être les mobiles qui les animent ?  

GVH : La sécurité n’est pas le cœur d’activité des hôpitaux ou des administrations, qui sont avant tout là pour délivrer un service. Pourquoi prendre le risque de cibler une organisation pour qui la sécurité est cruciale alors qu‘il est facile de s’attaquer à des plus petits acteurs dont elle dépend ? Il peut y avoir des effets d’aubaine à entrer par une entité administrative moins sécurisée pour atteindre des ministères ou des administrations centrales. On l’a constaté au début de la guerre en Ukraine. Ainsi, le satellite KA-SAT a eu un impact sur des milliers d’éoliennes en Allemagne et des dizaines de milliers de clients dans le civil. Les technologies ne sont jamais étanches à 100 %.  

 

BM : Quels sont les moyens à disposition pour contrer ces attaques ?  

GVH : La cybersécurité est un ensemble d’actions. Chacun de nous a un rôle à jouer. En mettant en commun les actions de hacking avec celles des ingénieurs, les apports du machine learning et la vigilance de chacun, c’est toute une intelligence collective qui se met en place. Si le risque zéro n’existe pas, on peut cependant ralentir une cyberattaque pour minimiser le risque final. C’est cette intelligence collective que nous recherchons chez YesWeHack. Nous avons aujourd’hui 45 000 hackers éthiques établis dans 170 pays qui cherchent les failles dans les systèmes informatiques du monde entier. Cela nous permet de monter rapidement en capacité et d’apporter des solutions avec un modèle hyper agile adapté à notre monde.  

 

BM : Comment va évoluer la cybersécurité selon vous ?  

GVH : Il existe aujourd’hui à peu près trois millions de postes non pourvus en matière de cybersécurité dans le monde, c’est une aubaine en matière d’emploi. Le hacker remet en cause tout ce qu’il a entre les mains. C’est une qualité essentielle dans la cybersécurité. Avec son habitude de la contestation et son appétence pour l’innovation, la France est plutôt bien placée dans ce domaine.  

 

Vous êtes une entreprise et avez besoin d’une expertise cybersécurité ? Découvrez notre Diag Cybersécurité pour mettre en place les premières actions.