Valéry-Emmanuel Gosserez, président de COREXALYS, Christophe Bobin, directeur général et Pierre-Mayeul Badaire directeur général délégué en charge des technologies, partagent avec nous leur vision de la cybersécurité et nous en disent plus sur les problématiques auxquelles les entreprises sont confrontées dans ce cadre et comment ils y répondent.

L’allocation des ressources à la cyber sécurité est un sujet stratégique pour les entreprises à une époque où les cyberattaques ne cessent d’augmenter. Qu’observez-vous à ce niveau ?

L’allocation des ressources à la cybersécurité est un enjeu de plus en plus stratégique, mais cela ne veut pas dire pour autant que les entreprises augmentent les budgets consacrés à la protection des actifs critiques. Bien qu’ils soient conscients que de nombreuses menaces existent, les chefs d’entreprise ne veulent pas payer d’avantage pour protéger leur structure. Ils recherchent des solutions pertinentes et agiles pour se défendre contre les cyberattaques tout en limitant leurs dépenses.Généralement, les entreprises se focalisent sur la mise en place d’une défense périmétrique, avec des matériels et des logiciels dédiés à la cyber sécurité sans forcément avoir une visibilité sur la menace. Nous avons la conviction que pour pouvoir être pertinent en matière d’allocation des ressources, il faut avant tout identifier la menace potentielle et les capacités notamment au niveau technique dont les acteurs malveillants disposent.En France, globalement, nos entreprises sont bien au-dessous des normes européennes et internationales en termes de part de budget consacré à la protection de leur patrimoine. Les ressources d’une entreprise sont parfois trop focalisées sur les aspects techniques au détriment de l’analyse de la menace.

Plus particulièrement, quelles sont les problématiques auxquelles les entreprises sont confrontées dans ce cadre ?

Nous constatons aujourd’hui une évolution de la maturité des entreprises sur l’appréhension des sujets de sécurité patrimoniale au-delà des aspects de cybersécurité. Pour nous, la sécurité de l’information doit être vue de manière globale. Il s’agit effectivement d’assurer la protection technique des systèmes mais aussi d’être attentif aux employés qui partent, à l’image de la société sur les réseaux sociaux, etc. et de multiples dimensions qui participent aussi à la valeur de l’entreprise. Chez nos clients, il y a également une évolution structurelle et organisationnelle avec parfois une réorganisation entre les entités en charge des questions de sécurité au sens large.Nous passons ainsi d’une organisation traditionnelle avec une direction des systèmes d’information, une direction de la sécurité physique qui s’occupe de la gestion des sites, une direction de la stratégie qui a une composante intelligence économique à la création d’un pôle transversal qui regroupe ces 3 types de compétences. Ce dernier va intégrer d’une part, les aspects intelligence économique et processus stratégique et d’autre part, la protection des actifs critiques et la sécurité de l’information. Dans ce cadre, nous aidons nos clients à connaître leurs vulnérabilités et à maîtriser leur exposition dans le cyberespace face à des menaces hyper évolutives. De manière duale, nous accompagnons aussi nos clients dans l’utilisation innovante et proactive de l’internet avec une approche plus globale d’intelligence stratégique. Notre différence est notre approche holistique intégrant de manière complémentaire les dimensions techniques et humaines. À cet effet, nous nous appuyons sur la combinaison d’une connaissance approfondie des attaquants et de leurs commanditaires ainsi que d’une technologie innovante développée par nos soins.

Que proposez-vous à vos clients ?

Corexalys est une société de e-intelligence qui accompagne les directions générales des grands groupes et des industries sensibles dans la connaissance et l’anticipation des menaces stratégiques. Notre mission est la protection des actifs critiques des entreprises et l’identification de ceux qui les convoitent. Ainsi, notre offre commerciale est structurée en deux piliers :- l’intelligence stratégique est une activité consistant à bien comprendre l’environnement externe de l’entreprise pour optimiser la performance de cette dernière, voire à l’influencer et le façonner ;- la contre-intelligence stratégique est l’approche duale qui consiste à évaluer la vulnérabilité et éprouver les mécanismes de protection de l’entreprise face à des actions hostiles.Nous mettons également l’accent sur la sensibilisation des entreprises à l’anticipation des menaces car il est essentiel qu’elles comprennent que le fait d’être préventif et d’anticiper est un véritable atout.

Pour une allocation des ressources efficiente et pertinente, quelles sont les bonnes pratiques ? Que conseillez-vous à vos clients ?

Tout d’abord, il faut être conscient de sa vulnérabilité. Lorsqu’un point faible est identifié, il faut absolument le corriger. Aujourd’hui, il y a de larges communautés dans lesquelles sont diffusés les moyens d’exploiter les vulnérabilités une fois ces dernières rendues publiques. Nous savons que plus des 90 % des attaques qui réussissent, sont rendues possibles par des vulnérabilités publiques. Ensuite, l’anticipation de la menace est aussi très importante. Si nous sommes ciblés, ce n’est pas uniquement parce que nous avons des failles mais c’est également parce que nous sommes, par exemple, dans un domaine qui potentiellement peut conduire à payer une rançon ou est ciblé pour son patrimoine informationnel par des services de renseignements étrangers. Si vous savez que vous pouvez être en danger, vous devez être vigilants, c’est une règle de base !

“Nous aidons nos clients à connaître leurs vulnérabilités et à maîtriser leur exposition dans le cyberespace face à des menaces hyper évolutives.”

Dans le contexte de la crise de la Covid-19 où beaucoup d’entreprises ont recours au télétravail, comment cette question doit-elle être appréhendée ? À quoi faut-il rester vigilants ?

Dire à une personne qui a peur de mourir de la peste que nous la protégerons du choléra ne sert absolument à rien. Lors de cette crise sanitaire, les entreprises se sont concentrées sur le maintien de leur activité avant tout.Cela étant, la crise liée à la Covid-19 a mis en lumière plusieurs vulnérabilités au sein des entreprises. La mise en place des dispositifs de travail à distance pour respecter les règles de sécurité a été faite de manière très rapide. Nous avons prévenu nos clients qu’ils pourraient faire face à un problème de « e-Covid ». Et, comme prévu, nous avons vu cet été une vague d’attaques et de ransomware, liées au fait que les moyens techniques mis en place dans le cadre du télétravail ne sont pas sécurisés correctement. Enfin, il ne faut oublier que chaque e-mail ou message reçus contenant le mot « Covid », a été ouvert… ce qui n’a pas aidé en rendant efficace la majorité des tentatives d’attaques par phishing.Avant la crise liée au coronavirus, les entreprises ne voulaient pas allouer une grande partie de leurs ressources à la cyber sécurité. Il est compréhensible qu’en période de crise mondiale, elles ne mettent pas la priorité sur cet aspect. Pourtant, ce qui aujourd’hui peut coûter cher, demain pourra coûter encore plus cher. Il faut changer d’approche dans cette période troublée et considérer la protection de ses actifs critiques comme une opportunité à saisir et non comme des frais supplémentaires à payer.

Valéry-Emmanuel Gosserez, Christophe Bobin et Pierre-Mayeul Badaire
Valéry-Emmanuel Gosserez est président de Corexalys. Ancien associé senior chez ESL & Network, il a également été conseiller au secrétariat général de la défense et de la sécurité nationale, rattaché au Premier ministre et auditeur à l’IHEDN. Cette expérience faisait suite à une carrière dans la finance chez Paribas, BNP Paribas, et enfin Crédit Suisse. Aujourd’hui, il travaille avec Christophe Bobin, directeur général de Corexalys, précédemment Officier de Contre intelligence au Ministère de la Défense, spécialisé dans l’analyse de la menace cyber et Pierre-Mayeul Badaire, directeur général délégué, précédemment DG de Suneris Solution.

COREXALYS est une société française spécialisée en intel-ligence et contre-intelligence stratégique qui accompagne les directions des grands groupes ainsi que les industries sensibles dans la connaissance et l’anticipation des cyberme-naces. Corexalys a un savoir -faire en matière d’OSINT (Open source Intelligence), d’HUMINT (Human Intelligence) et de DARKINT (Darknet Intelligence).

Published by