Serge Misik : La vie de RSSI n’est pas un long fleuve tranquille

Description

Dans ce nouvel épisode de Safe & Sound, Serge Misik, RSSI de Paris Ouest La Défense (POLD), vous dévoile les défis et responsabilités d’un Responsable de la Sécurité des Systèmes d’Information. Découvrez comment il anticipe les cybermenaces, élabore des stratégies de protection et sensibilise les équipes pour garantir la sécurité numérique. Un échange captivant pour mieux comprendre ce rôle clé et renforcer votre culture en cybersécurité !

À propos de Serge Misik

Avec plus de 25 ans d’expérience, Serge Misik s’est imposé comme un passionné et un expert engagé dans le domaine de la cybersécurité. Son choix pour cette carrière repose sur des motivations profondes : un attachement à l’humain, le désir de protéger et d’aider, et une volonté inébranlable d’avoir un impact positif sur la société.

En tant que Responsable de la Sécurité des Systèmes d’Information (RSSI) pour Paris Ouest La Défense, Serge supervise la sécurité de 12 contextes distincts, dont 11 mairies. Son rôle consiste à définir et gérer la stratégie cybersécurité, tant sur les plans tactique qu’opérationnel, en accompagnant et en conseillant le territoire dans une démarche globale orientée vers la cybersécurité.

Serge collabore également avec l’EDIH CYBIAH, piloté par le Campus Cyber Île-de-France, pour contribuer à l’élaboration de leur catalogue de services en cybersécurité. Son approche s’appuie sur le Framework du NIST (National Institute of Standards and Technology), structuré autour de six piliers fondamentaux : Gouvernance, Identification, Protection, Détection, Réponse aux incidents et Remédiation, et enfin Cyber-Résilience.

Toujours dans l’action, Serge Misik continue de faire de la cybersécurité un levier essentiel pour bâtir des environnements numériques plus sûrs et résilients.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Serge Misik
Ce qui fait la particularité d'une attaque d'origine cyber, c'est qu'elle est fulgurante. Vous ne construisez pas votre feuille de route cybersécurité pour une PME ou pour une TPE de la même manière que pour un groupe du CAC 40.
Etienne E.
Bienvenue dans ce troisième épisode de Safe & Sound. Aujourd'hui, nous avons rencontré Serge Mizik, responsable de la sécurité des systèmes d'information de Paris-Ouest-la-Défense, un territoire regroupant 11 communes de l'Ouest parisien et coproducteur de ce podcast. Passionné de cybersécurité, il nous dévoile les clés pour comprendre les vulnérabilités et les enjeux cyber. Alors installez-vous et laissez-vous guider par cet expert. Vous écoutez Safe & Sound, le nouveau podcast dédié à la cybersécurité de Cibia, un programme coordonné par le Campus Cyber, cofinancé par la région Île-de-France et l'Union européenne. Il offre un accompagnement en sécurité numérique entièrement pris en charge pour les entreprises les acteurs de l'économie sociale et solidaire, ainsi que les collectivités franciliennes. Pour renforcer la sécurité de vos systèmes et bénéficier de cet accompagnement personnalisé, rendez-vous sur sybia.eu. Ce podcast est produit en partenariat avec le catalyseur de l'innovation et de l'entrepreneuriat de Paris-Ouest La Défense. Cet épisode est réalisé par l'Agence JEF. Bonjour Serge.
Serge Misik
Bonjour.
Etienne E.
Merci beaucoup de vous rendre disponible pour cette interview.
Serge Misik
Avec plaisir.
Etienne E.
Pour commencer, pouvez-vous vous présenter auprès de nos auditeurs ?
Serge Misik
Oui, absolument. Je m'appelle Serge, Serge Mizik. Je suis RSSI. C'est un grand acronyme pour dire que je suis responsable de la sécurité des systèmes d'information. En fait, qu'est-ce que je fais ? Je m'occupe de la sécurité de tout le patrimoine informationnel. Toutes les données, grosso modo, toute la protection, tout ce qui a de la valeur pour Paris Ouest, la Défense. Voilà, auparavant j'étais chez Systra où j'étais également RSSI et où on en parlait juste un petit peu avant j'ai fait évoluer la fonction vers ce métier de ciseaux finalement qui a une vraie différence entre un RSSI et un ciseaux plus la partie business dans ciseaux et création de valeur alors que RSSI reste un peu plus technique mais ça évolue en France et encore auparavant j'étais à l'AFP où on va dire je suis resté longtemps à l'école, à l'AFP, parce que j'y ai passé 20 ans. Donc en passant par différents métiers, mon background de base c'est ingénieur réseau et télécom et j'ai forgé ma carrière pour devenir RSSI parce que dès lors que j'ai rencontré un de mes mentors, je me suis dit c'est ça que je veux faire.
Etienne E.
Justement, comment on devient RSSI ? Comment on attrape le virus, entre guillemets, de la sécurité informatique ? Quelles sont ses motivations et comment on construit son parcours pour devenir RSSI ?
Serge Misik
Je ne pense pas qu'il y ait aujourd'hui un parcours, il n'y a pas de parcours tout tracé pour devenir RSSI. Je vais répondre à la première question, comment est-ce qu'on attrape le virus ou comment est-ce que moi j'ai attrapé le virus ? Je vais vous le dire dans les termes tels que me l'a dit un jour mon mentor qui travaille aujourd'hui chez Airbus, puisqu'il est le numéro 3 de la sécurité chez Airbus. Il est resté mon mentor, il était à l'AFP auparavant. Il m'a dit aujourd'hui Serge, puisque tu viens d'arriver, tu es le petit nouveau, tu vas travailler avec moi et nous allons burner les IGX. Wow, j'ai dit qu'est-ce que c'est que ce truc là ? Qu'est-ce que c'est que ce langage ? Il me dit on va simplement mettre à niveau un gros équipement de sécurité de télécommunication. Et en fait, il faut le faire de manière pragmatique. Il faut le faire en suivant un mode d'emploi parce que sinon, il peut y avoir une rupture. de communication, une indisponibilité et c'est là que j'ai commencé à mettre mon pied dans la sécurité puisque la disponibilité est un des critères de sécurité. Je me suis dit c'est ce truc là que je veux faire mais ça a été le premier déclencheur. Le deuxième déclencheur, c'est que c'est réellement en fait un parcours où il faut aimer l'humain. Il faut aimer l'humain parce que nous sommes entourés de technologies. Mais d'humain, et moi, je suis passionné par l'humain. Donc, avec ces deux critères, je crois qu'on m'a donné le virus et il ne m'a jamais quitté. Je n'ai jamais porté de masque pour ça, en tout cas.
Etienne E.
Vous avez parlé d'humain. La collaboration est au cœur, j'ai l'impression, de votre métier. D'après vos premiers mots, à quoi ressemble votre quotidien ? À quoi ressemble votre collaboration, que ce soit avec vos collaborateurs dans le service de la sécurité informatique, comme avec les agents de Paris Ouest La Défense ?
Serge Misik
Alors aujourd'hui, je suis un RSSI qu'on appelle mutualisé. ou partagé, qu'est-ce que ça veut dire ? Ça veut dire que Paris-Ouest, la Défense, a eu l'idée il y a un an et demi, deux ans, de créer en fait cette fonction de mutualisation en se disant les RSSI sont des profils rares, les RSSI on va dire un peu seniors, comme moi, avec, j'attaque mes 25 ans d'expérience maintenant, alors pas en tant que RSSI mais dans le monde de la cyber. Donc j'en apprends tous les jours, mais cependant, voilà, j'ai quelques acquis, quelques heures de vol, comme on dit. Ils se sont dit, puisque les RSSI, les profils sont rares et qu'on a du mal à recruter, on va mutualiser. Et donc en fait, Paris-Ouest-La-Défense, c'est un établissement public territorial qui regroupe différentes mairies, 11 pour être précis. Elles se sont dit, plutôt que d'avoir 11 RSSI, on va en prendre un et qu'on va partager. Donc en fait, mon quotidien... Il est de me balader de mairie en mairie et d'être le RSSI de 11 mairies plus l'EPT, l'établissement public territorial Paris-Ouest-La-Défense, donc 12 contextes, et en fait de les accompagner sur ce que j'appelle, j'aime bien appeler communément le volet des 3P. Pourquoi 3P ? Le premier pour people, les gens, le deuxième pour product, de la technologie, ce qu'il en faut. Et le troisième pour process, parce qu'il faut un peu processer tout ça. Donc en fait, je me balade et le but étant d'élever le niveau de maturité de ces collectivités, déjà de savoir à quel niveau elles en sont, et de savoir constamment quel sera le next step. Et de l'élever petit à petit et de rentrer dans une démarche d'amélioration continue, donc d'être bon élève on va dire, et de diminuer les impacts de cyberattaques, mais pas que. parce que les attaques peuvent venir de l'externe, mais également de l'interne.
Etienne E.
Il y a une différence entre RSSI chez Systra ou à l'AFP, par exemple, et dans une collectivité territoriale ou dans une mairie. Est-ce que le travail est le même ou il est foncièrement différent ?
Serge Misik
La base du travail d'un RSSI est globalement toujours la même. On travaille sur ce fameux triptyque qui est disponibilité, intégrité, confidentialité. Épreuve, un quatrième, c'est-à-dire la traçabilité. Cependant, on l'adapte à notre environnement. Je crois que la majeure, les grandes différences que je note dans une collectivité publique, ou en tout cas dans le secteur public, et dans un établissement comme Paris-Ouest-La-Défense, mais également les mairies dans lesquelles je vais, premièrement, c'est le budget. Je gérais quelques millions par le passé, je gère quelques centaines de cas maintenant. Donc on ne fait pas... Je ne peux plus me payer une Porsche, je peux me payer une Volkswagen.
Etienne E.
C'est peut-être tout aussi fiable.
Serge Misik
On ne fait pas tout à fait la même chose. En tout cas, ça c'est la principale différence. La seconde différence sont les ressources humaines. On a moins de personnes. Par le passé, j'ai eu une équipe avec des personnes seniors que j'encadrais et on travaillait tous en équipe au sein de la structure ou du pôle cybersécurité. Là, pour l'instant, je suis mutualisé, mais je suis mutualisé tout seul, à moi tout seul. Il est prévu de recruter, mais pour l'instant, c'est un peu en stand-by. On verra sur 2025, parce que je renforce le pilier technologique, comme je vous le disais, les 3P. Le volet people va venir. Le troisième élément différenciateur, c'est que dans le secteur privé, vous savez, il y a ces fameux COMEX, ces comités exécutifs. où vous avez les patrons, la direction générale, et où moi, par le passé, j'étais pas membre, mais invité. Aujourd'hui, je suis pas dans les codires, je suis pas dans les comités de DGS, qui sont les directeurs généraux des services, c'est-à-dire des personnes qui répondent directement aux maires dans les mairies. Et donc, du coup, le volet humain lié au top management est manquant. est un maillon manquant, mais on y arrive, on commence à y venir. Je pense que je les bassine avec la cybersécurité et donc je vais les voir de manière non anxiogène. Donc du coup, il m'invite maintenant pour me dire Serge, tu as plein d'idées, tu en as une à la minute, il va falloir se calmer un petit peu, mais du coup, je les embarque avec ma passion. Ça se sent que je suis passionné, je pense.
Etienne E.
Vous sentez une prise de conscience au niveau de la cybersécurité ces derniers mois, voire ces dernières années, avec justement une augmentation palpable de la menace ?
Serge Misik
La menace, elle augmente constamment. Je crois qu'on est passé d'une menace typiquement de ransomware, elle a évolué je crois en 2023. Alors les ransomware sont ces fameux spyware logiciels qui chiffrent vos données, puis après on vous demande une rançon. En 2023, il y a eu une augmentation de près de 50%. Donc ça évolue constamment. Oui, je sens une prise de conscience. Je ne saurais pas forcément l'expliquer. Je pense qu'il y a eu beaucoup de volonté de la part de la France, de la part de l'Europe, de la part des pays comme Israël, qui sont très bons en cybersécurité. Il y a un enjeu démographique derrière, il y a un enjeu stratégique pour des pays comme les États-Unis, comme Israël, comme d'autres. Et l'Europe a son mot à dire. Donc du coup... Je pense que pour ne pas rester à la traîne, puisque les méchants ont toujours une longueur d'avance, ils n'ont que ça à faire, ils n'ont qu'à attaquer. Nous, il faut qu'on se défende et de plus en plus, on assiste à un changement de paradigme qui est d'avoir une posture offensive. On va essayer d'analyser la menace, c'est-à-dire qu'on mêle un peu, ça devient de moins en moins, c'est toujours technique. Cependant, on va trouver du... profiling c'est à dire comprendre la personne menaçante comprendre pourquoi est ce qu'elle agit pourquoi est ce qu'elle m'en veut c'est ce qu'on appelle la street intelligence passe à cela comme comme l'intelligence artificielle arrive il est clair qu'aujourd'hui on n'a pas d'autre choix que de renforcer nos postures et de moins en moins je vois les entreprises en tout cas des collectivités attendre de se prendre quelque chose qui fait mal et rentrent la cybersécurité dans leur stratégie à l'échelle globale.
Etienne E.
Est-ce que la menace qui pèse sur les collectivités est la même que celle qui pèse sur les entreprises ? Vous parliez des ransomware qui touchent beaucoup les entreprises parce que la data a une valeur considérable, c'est l'or des entreprises. Est-ce que c'est la même menace pour les collectivités ou elle est différente ? Vous parliez aussi de profiling. Est-ce que les personnes qui attaquent les collectivités sont différentes, animées par d'autres vindications, d'autres motivations ?
Serge Misik
Alors on a toujours face à nous des personnes qui sont malveillantes. Et dans le domaine d'où je viens et dans les collectivités où je suis aujourd'hui, ce qui prime c'est la cybercriminalité. Il y a quatre types de menaces. Il y a la cybercriminalité, donc là c'est typiquement la pas du gain. Vous avez la déstabilisation, donc on l'a vu grandement avec le contexte géopolitique entre l'Ukraine et la Russie, et ce qui se passe en ce moment avec l'Europe. Mais pas que, puisque la déstabilisation est une menace qui peut affecter les collectivités, je pourrais revenir dessus par la suite. Vous avez le sabotage, et puis vous avez l'espionnage. Voilà les quatre grands types. L'espionnage, on va plus le retrouver... à l'échelle des États ou à l'échelle dans les domaines industriels.
Etienne E.
Les fameuses industries vitales.
Serge Misik
Là où on manipule du secret, de la prod, de la... Voilà. Dans les collectivités, vous parliez de data et d'or. On l'a aussi. On l'a aussi. Pourquoi ? Parce qu'on manipule des données des citoyens. Des données qui valent extrêmement cher. Des données qui, sur le Darknet, se vendent très cher. Les collectivités manipulent des cartes nationales d'identité. Manipulent des empreintes biométriques quand vous faites votre passeport, manipulent des passeports, manipulent des données de santé, manipulent des déclarations d'imposition pour calculer les quotients familiaux, pour avoir droit à des aides ou pas. Et donc en fait, toutes ces données-là sont extrêmement importantes et attirent les cybercriminels qui vont vouloir s'en emparer pour les revendre à prix d'or justement ou en faire des faux et les revendre également sur le Darknet.
Etienne E.
Ok, donc en fait, ils utilisent les mêmes techniques que lorsqu'ils attaquent une entreprise privée. Ils viennent bloquer et chiffrer les données de l'entreprise pour essayer ensuite de tirer une rançon, pour ne pas les diffuser, voire pour les rendre à la collectivité.
Serge Misik
Complètement. On est globalement sur les collectivités. Le risque, cette fois, on parlait de menace tout à l'heure, là je parlais de risque opérationnel. Donc technique, ce que je vois, c'est clairement... Ce qu'on appelle l'usurpation d'identité, l'ANSI en classe 9, 9 risques. Il y en a deux qu'on peut séparer. Il y a le phishing, vous savez ce fameux hameçonnage qui vise à vous envoyer un faux quelque chose, un faux SMS, un faux email. Alors évidemment majoritairement ça va être un faux email qui va usurper votre service informatique, se faire passer pour votre service informatique. Il faut mettre quelque chose à jour et cliquer là. Le fameux cliquer là ou ouvrir une pièce jointe. C'est comme ça que le malware, en tout cas le virus, rentre dans le système d'information et fait quelque chose, agit. en provoquant des dommages, ou effectivement, le rançon JCL, donc le ransomware, qui chiffre les données et ensuite, pour pouvoir vous les déchiffrer, vous demande une rançon, ce qui aujourd'hui, évidemment, ne vaut plus du tout la peine. Je lisais dernièrement un article, encore une fois, ce qu'on appelle le crypt and leak, c'est-à-dire le je crypte ou je chiffre, puisqu'on ne dit pas crypter, mais on dit je chiffre. Et je leake, donc je fais fuiter. C'est-à-dire qu'aujourd'hui, il y a l'effet qui se coule, je vous ai chiffré vos données, et le double effet qui se coule, vous avez payé la rançon, mais je les ai quand même diffusées sur le Darknet ou sur Internet.
Etienne E.
Oui, il passait dans les conditions générales, il y avait marqué que c'était juste pour les récupérer, en fait, la rançon. Oui,
Serge Misik
voilà, dans les conditions générales de vente, avec le petit astérix en bas, où il y a marqué surtout ne pas croire. Exactement. Il n'y avait pas marqué que finalement, après avoir payé la rançon en Bitcoin à quelques millions, nous allions quand même les... les divulguer sur internet, vous causant des dommages.
Etienne E.
Vous sentez une recrudescence des attaques, vous, ces derniers temps ?
Serge Misik
On sent que les attaques augmentent, on sent surtout qu'elles se complexifient. L'intelligence artificielle arrive, elle est même là. Le machine learning, l'intelligence artificielle, légère on va appeler, on va pas lourde, c'est quand on a une intelligence qui est capable de réagir avec une émotion. ou forte, comme on dit, mais l'intelligence artificielle faible qui est capable d'auto-apprendre, on l'a vu avec les fameux Ausha de JPT, on reste sur un jeu du chat et de la souris, c'est-à-dire les hackers bénéficient de plus en plus d'outils très sophistiqués et pour le mortel qui n'est pas expert en cybersécurité, déjà pour les experts ça devient compliqué, pour ceux qui ne sont pas experts ça devient... extrêmement compliqué de différencier le frais du faux. C'est comme les fake news ou les deepfakes maintenant. On voit bien ce que la technologie est capable de faire. Là où par le passé, on avait majoritairement des groupes, ces fameux groupes APT, vous savez, APT27, APT28, la sophistication était humaine. C'est-à-dire qu'il y avait un cerveau humain derrière. Là, il y a toujours de l'humain derrière, parce que les cybercriminels sont... Hyper bien organisé, c'est des véritables PME sur le Darknet. Vous savez que vous pouvez vous faire embaucher, vous allez avoir un salaire x10, x12, x20, illégal évidemment. Et puis vous courez un risque de vous faire attraper et de passer quelques belles années derrière des barreaux. Cela dit, il y a de plus en plus les machines qui aident maintenant les hackers et ce qu'on appelle les bots, les robots. Vous avez des machines qui vous attaquent avec un niveau de sophistication assez important.
Etienne E.
D'accord, l'intelligence artificielle, il y a le côté deepfake, etc. Mais il y a aussi un côté, ça permet de complexifier l'attaque, de faciliter certaines tâches, c'est ça ? Ça permet d'accélérer sur le déploiement de l'attaque ?
Serge Misik
Oui, ça permet de faire beaucoup de choses. Ce qu'on appelle une fameuse kill chain, c'est-à-dire la chaîne d'attaque en cet état, du moment où on va faire une phase de reconnaissance. Je vais me renseigner un petit peu sur l'entreprise que j'ai comme cible. Je vais amasser de l'information. Puis ensuite, je vais construire ma menace et je vais livrer ma menace, ce qu'on appelle la charge, qui contient la bombe, finalement, qui va exploser dans votre entreprise ou dans votre collectivité. Alors, qui va exploser en faisant du bruit ou en faisant pas de bruit ? Je ne sais pas si vous vous souvenez de l'attaque de TV5Monde. dont la menace avait été présente pendant très longtemps dans le système d'information, sans que personne ne s'en aperçoive. Aujourd'hui, je crois qu'on est sur à peu près une cent cinquantaine de jours en menace présente sur un système d'information sans qu'elle soit détectée. Attention, j'essaye de ne pas faire peur. Aujourd'hui, heureusement, on a des outils qui détectent pas mal de choses. Mais vraiment, si l'attaquant vous a ciblé, c'est comme celui qui veut vous cambrioler aujourd'hui. Vous avez beau avoir un système d'alarme, Vous avez beau avoir trois Dobermans, deux tourelles avec des gardes armés, il rentrera.
Etienne E.
Ça ne fera que le ralentir ou lui rendre la tâche un peu plus complète.
Serge Misik
Absolument.
Etienne E.
Mais effectivement, cette information, justement, le commissaire Fabrice Billot de la BL2C, donc la brigade de lutte contre la cybercriminalité, nous a sensibilisés à ce point qui est maintenant les attaquants peuvent rester des mois dans un système d'information, collecter, regarder en fait jusqu'à où ils peuvent pousser les ramifications. Avant de rendre l'attaque visible pour maximiser le gain qu'ils font derrière.
Serge Misik
Tout à fait. Ce qui s'est produit, c'est que le cybercriminel, c'est de la criminalité pure. Donc, c'est l'appât du gain. Donc, par le passé, moi, j'ai connu des attaques. J'en ai vécu deux, des cyberattaques. Pas de grande ampleur. Mais oui, il a fallu payer en bitcoin à l'époque où le bitcoin était à 300 dollars. J'aurais dû investir à ce moment-là. J'ai été bête. Mais bon,
Etienne E.
il fallait en garder un pour vous au moment de la réception.
Serge Misik
Qu'est-ce que faisaient ces fameux hackers ? Ils envoyaient plein d'attaques et récoltaient des petites sommes. Ces petites sommes accumulées faisaient qu'à la fin, ils avaient une somme qui se chiffrait à quelques zéros. Aujourd'hui, ils vont analyser beaucoup plus leur contexte, la menace, et créer une menace dont on ne pourra pas se parer. Il faut être conscient. Aujourd'hui, quand on a décidé de vous attaquer et d'être la cible, c'est extrêmement compliqué. Vous pouvez réduire les conséquences et les impacts, mais l'empêcher...
Etienne E.
C'est assez intéressant, vous avez subi deux attaques apparemment de faible ampleur. Ça éveille forcément ma curiosité. Comment on réagit quand il y a une cyberattaque et comment on fait pour préserver au maximum l'intégrité de la donnée, l'intégrité des systèmes d'information ? Qu'en tenir au maximum comme un bateau qui a une voie d'eau pour éviter le naufrage ?
Serge Misik
Ce qu'il faut savoir, c'est que comme on réagit, on réagit comme on peut. Tout d'abord, parce que la première fois, on n'est jamais préparé, mais je crois qu'on n'est jamais de toute manière préparé. On a beau faire des exercices, s'entraîner, etc. Ce qui fait la particularité d'une attaque d'origine cyber, c'est qu'elle est fulgurante. Tout d'un coup, ça commence souvent par un appel, et puis deux, et puis trois, et puis selon la taille de votre entreprise, mille ou dix mille. Je veux dire, il se passe... Donc là, vous savez forcément qu'il se passe quelque chose de louche ce matin-là, ou cette nuit-là, ou ce week-end-là. Parce qu'évidemment, ça n'arrive pas à 10h30 du matin, quand vous êtes concentré avec toutes vos équipes de présent.
Etienne E.
Oui, comme les attaques militaires, on les fait toujours au moment où le défenseur est le plus vulnérable.
Serge Misik
Exactement. Mais grosso modo, les premières, ce qu'on appelle les emergency measures, donc les mesures d'urgence qu'on met en place, sont des mesures très simples et très logiques. Déconnecter un PC, ne pas l'éteindre parce que sinon on perd ce qu'il avait en mémoire, on perd la preuve de l'attaque. Quand on va aller déposer plainte, il faut qu'on ait des preuves. Donc déconnecter un réseau, isoler des bouts de réseau. Donc on avance petit à pas et imaginez une autoroute ou une petite route de campagne. Et puis vous avez un accident sur cette route de campagne. Et puis cet accident a des conséquences sur la départementale qui est juste à côté. Mais ça a aussi un incident sur la nationale qui n'est pas très loin. Et puis ça a un autre incident ou une autre conséquence sur l'autoroute finalement A7 qui est à côté. Qu'est-ce que vous allez faire ? Vous allez décider, vous les forces de l'ordre, accompagné d'autres, de fermer tous ces tronçons. Nous c'est pareil. On ferme de manière à endiguer l'attaque à la... concentrée au maximum là où elle est. Je rappelle qu'en 2019, l'attaque de Bouygues Construction au Canada, suite à un ransomware, donc à ce fameux rançon JCL, a été présente sur ses serveurs de Vancouver, je crois, à un certain temps. Huit heures après, elle était présente au siège à Aylancourt, donc à côté de Versailles. Je vous le dis, c'est fulgurant.
Etienne E.
C'est très binaire en fait, soit tout va bien, soit tout s'effondre.
Serge Misik
Exactement, c'est tout d'un coup tout était au vert et tout d'un coup tout devient en rouge. Quand vous arrivez à voir le rouge ? Parce que par moment, les hackers masquent le fait qu'ils arrivent à prendre le contrôle. Ça c'est vrai par exemple dans l'industrie, ils prennent le contrôle des systèmes qui surveillent tout le système industriel, comme par exemple l'attaque de la centrale nucléaire en Iran, vous savez, où en fait... Les gens qui étaient derrière les panneaux voyaient tout au vert. Tout va bien. Mais en fait, derrière, la centrale augmentait d'un demi-degré toutes les 24 heures, je crois.
Etienne E.
Ce n'était pas justement, vous parliez de risque de l'attente, les clés USB qui s'étaient baladées jusqu'à arriver dans la centrale nucléaire ?
Serge Misik
Alors si, on a su un petit peu le fameau de l'histoire. Ils s'en sont pris au patron. Quand je dis ils, c'est les Russes. Si je me souviens bien, ils s'en sont pris au directeur de ce système industriel qui gérait directement la centrale. Il devait faire une mise à jour d'un équipement industriel. Et en fait, tous les soirs, il rentrait avec une clé USB qu'il mettait chez lui. Et finalement, ils ont réussi, par un biais décalé, quand on dit qu'il faut faire attention aux réseaux sociaux, à se dire... On ne va pas l'attaquer lui directement parce qu'il est assez bien sensibilisé. On va attaquer sa femme. On va poursuivre sa femme en ingénierie sociale. Vous savez, étudier justement le mode opératoire de sa femme. Comment est-ce qu'elle passe ses journées ? Qu'est-ce qu'elle fait ? Etc. Et ils ont piégé sa femme. Et elle est rentrée avec une clé USB qu'elle avait trouvée quelque part qui contenait un virus. Elle l'a posée à la maison. Et lui, le matin, exactement le même modèle, je crois qu'il a pris la clé qui contenait ce virus. Et le lendemain, il a voulu faire sa mise à jour. La mise à jour, je ne crois pas qu'elle ait marché.
Etienne E.
La parfaite illustration de comment une attaque peut être sophistiquée et la vigilance que ça requiert pour s'en prémunir. Et justement, quand on gère la cybersécurité d'un établissement public territorial et de 11 communes, et pas des moindres, on parle de communes comme Bourbevoie plutôt, puisqu'on enregistre ici à la Défense, mais il y a aussi des villes comme Saint-Cloud. de Nuit-sur-Seine, Levalois, etc. On ne va pas toutes les citer, mais en tout cas, on a des villes importantes avec un tissu économique très dense, beaucoup de population. Comment, au final, on arrive à préparer les villes, les systèmes d'information et à en assurer la résilience, surtout quand on est, au final, tout seul pour un territoire énorme en termes de population et en termes de PIB ?
Serge Misik
La première chose quand je suis arrivé, c'est que j'ai eu la chance d'avoir, comme on dit, un terreau fertile. C'est-à-dire que j'ai des collègues DSI. Vous avez rencontré ma DSI tout à l'heure. Donc j'ai des DSI, des directeurs ou des directrices des systèmes d'information, puisque je suis rattaché aux systèmes d'information, qui sont très portés sur l'aspect cybersécurité. Qu'est-ce qui a fait ça ? Je ne sais pas. L'appétence. En tout cas, il y a une appétence assez importante pour pouvoir gravir les échelons, step by step, pas par pas, pour arriver à une maturité, on va dire, plus élevée, plus évoluée. Et c'est peu dire parce que dans les collectivités, on part de bas, on part vraiment de très bas. Mais il y avait déjà des choses en place. Je vous parlais des 3 P tout à l'heure, qu'est-ce qu'on met en place en premier ? Qu'est-ce que j'ai mis en place en premier ? De la technologie. On met en place des technologies et qu'est-ce qu'on met en place ? On met en place des technologies de protection. J'ai commencé par mettre des technologies de protection. Je me suis basé sur un cadre que j'aime bien, qui est le cadre du NIST, qui est un framework américain, un cadre de travail américain. le NIS pour National Information Institute and Technology. Il parle de cinq piliers, l'identification, la protection, la détection, la réponse à un incident et ce que j'appelle moi, ce qu'il appelle recover en anglais, moi j'appelle ça la résilience ou la cyber résilience, comme on a tendance à l'appeler aujourd'hui. Et on travaille sur ces cinq piliers indifféremment. Alors le nouveau framework V2 a introduit la gouvernance, c'est-à-dire gouverner, piloter, driver. Mais je la sors un peu à part, parce que j'ai une vision différente de la gouvernance vue du risque. Mais en tout cas, j'ai travaillé sur la partie briques technologiques et encadrement par des processus. Donc en fait, je leur ai dit par priorité, vous n'avez pas ça, vous n'avez pas ça, il vous manque ci, il faut qu'on travaille pour les mettre. Et ce faisant, on a réussi à diminuer les risques. Évidemment, il reste encore énormément de travail, mais en tout cas, on fait ce qu'on peut pour vraiment... minimiser les risques. Vous savez, il y a souvent cette phrase de dire si je vais être attaqué et on ne dit plus si je vais être attaqué mais quand je vais être attaqué Et moi, je vais au-delà de cette phrase, puisqu'on connaît, on a éliminé la probabilité et qu'on est sûr qu'on va se faire attaquer, le temps est là, j'ai éliminé le temps, puisque je pars du principe qu'on va se faire attaquer, et donc du coup, maintenant, on travaille sur la réduction des impacts et des conséquences.
Etienne E.
Comment on fait ? On segmente, on cloisonne un maximum les différents systèmes d'information, ou du moins les différentes branches ?
Serge Misik
Déjà, on segmente le réseau et on filtre dans le réseau, où on met des briques qui font ça. Déjà, on essaye d'empêcher la personne malveillante de pénétrer, de taper à la porte et d'avoir une porte ouverte et de rentrer. Ça, ça s'appelle gérer les vulnérabilités et les corriger. Je pense que c'est responsable de 80%... Des attaques, aujourd'hui, si tout le monde adressait une bonne gestion des vulnérabilités, ce serait déjà un petit peu plus compliqué. Mais une fois qu'on est rentré, on va éviter de se balader à droite et à gauche, ce qu'on appelle les mouvements latéraux. Et pour ce faire, on va donner le moins de droits possibles à un utilisateur. Moi je suis RSSI, mais mon PC a des droits lambda. C'est-à-dire que je ne suis pas administrateur de mon PC. Euh... Est-ce qu'il veut dire que si on en prend le contrôle... Je ne peux pas faire grand chose avec. Je n'ai même pas des droits pour me connecter sur des applications. J'ai des collègues qui le font, qui ont ces droits-là, évidemment, avec lesquels je travaille dans les DSI. Mais moi non, pourquoi ? Parce que les RSSI sont des personnes ciblées, aussi bien que les personnes des ressources humaines, qu'aussi bien que les personnes des finances, les directeurs financiers ou directrices financières, les directeurs généraux des services. Ce sont des personnes, ce qu'on appelle nous dans notre jargon, et même ce n'est pas un jargon, mais les VIP, les Very Important People. On a tendance aujourd'hui à les appeler aussi les very attacked people les VAP, donc les gens véritablement ciblés. Donc on va définir qui doit avoir un minimum de droits et qui doit en avoir un peu plus. Et ensuite, on va jouer sur ces droits. Dans ceux qui doivent en avoir un peu plus, on va dire ok, une fois qu'on a mis ce qu'on appelle le moindre privilège en action, de least privilege, on va mettre ce qu'on appelle le need to know en action, le droit d'en connaître. C'est-à-dire que pour faire mon travail, moi, j'ai peut-être pas besoin... de connaître ou de savoir, d'avoir telle ou telle information. Donc je vais restreindre l'accès à l'information qui m'est utile dans mon travail au quotidien. Et c'est ce qu'on fait dans les collectivités, on réduit ses droits en travaillant sur la gestion des identités et des accès. Il est important de filtrer au plus fin possible et de faire une revue et de corriger constamment et d'affiner. Vous avez beaucoup de mobilité dans les collectivités, vous avez des agents de la fonction publique, qui un jour étaient au pôle du traitement des eaux ou des déchets et puis qui le lendemain se retrouvent parce qu'ils l'ont souhaité et ont eu une formation à travailler pour le développement durable ou alors pour le système d'information géographique. On s'assure que les droits qu'ils avaient auparavant leur sont retirés parce qu'il n'est plus nécessaire qu'ils les aient pour leur travail de tous les jours.
Etienne E.
Et justement, vous avez parlé des briques technologiques comme première étape pour sécuriser. Maintenant, on parle de l'humain à travers cette gestion des accès. Comment on embarque les agents et on les sensibilise au-delà de cette question d'accès qui est peut-être plus back-office, qui est peut-être une gestion, une vision que vous, vous avez en tant qu'ARSSI, mais comment on embarque les agents à être sensibilisés à la sécurité informatique, à ne pas cliquer sur n'importe quoi, à ne pas télécharger une application parce que plus rapide pour décompresser un fichier PDF. Comment on arrive à... à faire en sorte que tout le monde ait cette hygiène numérique qui est indispensable au sein d'une collectivité comme d'une entreprise.
Serge Misik
Alors il y a différentes méthodes pour sensibiliser les personnes. C'est comme dans toute gestion du changement, vous allez avoir des personnes qui vont avoir un mindset, donc un état d'esprit très ouvert et vous allez avoir des récalcitrants, vous allez avoir des gens qui vont avoir peur parce que ça fait très peur. On ne sait pas ce que c'est vraiment que la cybersécurité, c'est une nébuleuse, c'est très IT. On apparente souvent ça derrière à des gens qui sont des geeks, vous savez le fameux hacker en capuche, avec son sweat à capuche, c'est complètement faux cela maintenant évidemment, on n'a plus du tout cela. J'apporte cette sensibilisation par expliquer très simplement et très clairement, donc en vulgarisant et en faisant des parallèles avec leur vie privée régulièrement. Vous êtes spammés tous les jours, c'est-à-dire on vous embête. tous les jours vous recevez vous vous souvenez de cette mode de cette phase où on recevait constamment des sms sur le compte professionnel de la formation le cpf donc aujourd'hui les utilisateurs ils ont cette chance ou cette malchance en tout cas c'est une opportunité pour nous et on l'utilise de recevoir dans la vraie vie ce qu'ils peuvent recevoir en milieu entreprise en milieu professionnel donc du coup ça leur parle aujourd'hui dans votre banque vous avez un compte bancaire on vous ôte on vous oblige votre banque vous oblige de vous double authentifier. Vous avez votre compte, votre numéro de compte qui est votre identifiant ou autre chose. Vous avez un mot de passe qui aujourd'hui se complexifie, 12, 13, 15 caractères avec des majuscules, des minuscules, des points d'exclamation, enfin en tout cas des caractères spéciaux, etc. Et si possible, évitez d'avoir le même mot de passe pour toutes les applications. Et vous ne pouvez pas réutiliser ce mot de passe plus de trois fois. Il y a un niveau de profondeur assez élevé, surtout pour les banques. Et vous avez maintenant ce fameux jeton que vous recevez soit sur un téléphone portable, soit sur une application, soit parce que sur votre téléphone vous recevez une notification, il faut approuver quelque chose. La double authentification qu'on appelle le 2FA pour Two Factor Authentication, ou MFA, Multiple Factor Authentication, pour au-delà de deux, c'est-à-dire trois authentifications, quatre authentifications. Et bien en fait les personnes commencent à s'y habituer. Votre compte Gmail, si vous avez un compte Gmail, vous pouvez activer la double authentification. Et Google parle là-dessus. Microsoft avec des Microsoft Authenticator, l'application, ça commence à se démocratiser. Donc en fait il n'y a pas une application aujourd'hui qui... Enfin il en existe encore évidemment, trop à mon goût, mais on trouve de plus en plus des applications qui proposent ces mécanismes-là. Et donc du coup, en recevant... des choses qui vous embêtent dans la journée, des faux coups de fil qui se font passer pour votre fournisseur d'énergie ou votre provider, votre fournisseur d'accès Internet, en recevant des faux SMS, en recevant tout un tas de choses, je pense que de plus en plus, les utilisateurs commencent à être habitués. Donc ce qu'il faut aujourd'hui, c'est démystifier la cybersécurité et en parler simplement. Je ne sais pas si vous avez fait attention, mais on commence à en parler à la télé, à des heures de grande écoute. Le matin, quand je me lève, j'écoute par exemple la télévision pour écouter les informations. Il y a souvent des chroniqueurs et je vois des personnes de la cybersécurité, du monde des experts de la cybersécurité qui sont là et qui sont interviewés. Alors c'est le matin, mais vous allez avoir lors d'une cyberattaque de grande ampleur, sur le JT du soir, des interviews d'experts qui vont venir et qui vont expliquer quelque chose. Donc on en parle. Je ne vais pas citer la marque. Une marque qui change des pare-brises. Vous savez, dit bien à la fin, il faut taper sur tatatata.fr. Et attention, tapez bien.fr. Vous voyez, c'est une forme de sensibilisation. Donc la cybersécurité est en train de s'emparer du monde et personnel et professionnel et les médias, qu'ils soient télévisés ou comme vous aujourd'hui, ou comme les podcasts, ou comme les miniseries, le travail de Nancy ou d'autres. Le CYF a beaucoup travaillé pour faire des petites choses rigolotes. Ça se démystifie et donc du coup, je pense que les personnes commencent à englober ça.
Etienne E.
Donc il faut vulgariser pour...
Serge Misik
Trans.
Etienne E.
Ok. La menace est maintenant tangible et palpable pour le commun des mortels. Ça aide aussi à faire en sorte que les collaborateurs soient plus impliqués ?
Serge Misik
Oui, complètement. Vous savez, on a nos petites astuces aussi. On a nos campagnes de sensibilisation. qui sont de deux types. On va se faire passer pour un méchant, un cœur, et on va envoyer ces fameux mails de hameçonnage. Alors avant, on les envoyait par gros paquets. Puis on s'est aperçu que ça ne marchait pas parce qu'au bout de deux reçus, les collaborateurs se parlent. Je crois qu'il y a le RSSI qui est en train encore de nous embêter avec ses faux emails. Si tu reçois quelque chose, ne va pas cliquer dessus. Celui-là, il s'appelle Assurance. Ou alors il s'appelle, il vient de la DRH et on te sucre tes congés d'été. Évidemment, ça marche tout le temps très bien. Donc là, on les dilue dans l'année et on fait des groupes que ça passe un peu inaperçu, pour mesurer. Alors, il y a la première chose qui est de voir comment va réagir quand même l'utilisateur. Ce fameux taux de clic, mais ça n'est ni plus ni moins qu'un indicateur pour nous pour savoir vers où il faut porter l'effort. Parce que derrière, ce qui est vraiment intéressant, c'est comment est-ce qu'on va former l'utilisateur. Et aujourd'hui, je suis en plein dedans typiquement puisque je m'intéresse, là j'ai reçu différentes entreprises qui m'ont présenté leurs solutions. Il y en a qui vous proposent encore, hélas, Des gros paquets de modules d'e-learning, vous savez, vous mettez derrière l'écran et vous en avez pour une bonne heure et demie à faire votre e-learning et tant que vous n'avez pas fini, vous ne pouvez pas quitter. Non, on ne fait plus ça aujourd'hui, on fait des vidéos de 4-5 minutes de manière ludique, on fait de l'infographie fixe animée, on utilise tous les médiums possibles, c'est-à-dire l'image, le son, le texte, le quiz pour attirer l'utilisateur et lui faire faire en gros, allez, entre une heure et demie à deux heures de sensibilisation, formation à l'année. C'est quoi une heure de sensibilisation à l'année ? C'est quoi une heure dans une année ? C'est pas grand chose. Avec ça, on est arrivé dans les collectivités à passer d'un taux de clic de 19%, à peu près, selon les contextes, à 2 ou à 6%. Alors attention, un clic est toujours fatal. Ça suffit.
Etienne E.
Oui, mais les probabilités pour que le hacker amoure le mail à la bonne personne, entre guillemets, réduit aussi le risque de pénétration des systèmes.
Serge Misik
Voilà, tout à fait.
Etienne E.
Et se préparer à réduire le risque, ce sont des processus. Et quand on est, et là je parle à nos auditeurs, quand on est une TPE ou une PME, ça peut paraître être un chemin très difficile et complexe. Et c'est justement pour ça que POLD, dont vous faites partie, et Cibia, qui est une initiative qui émane de l'Europe et qui est en partenariat avec le Campus Cyber, tâche de rendre la cybersécurité accessible et ses mesures essentielles de cybersécurité accessible. Est-ce que vous pouvez nous parler de votre contribution à ce projet ? Il me semble que vous y êtes impliqué et que ce projet est d'importance pour vous.
Serge Misik
Pas assez impliqués, mais en tout cas impliqués. On travaille à une implication encore plus importante. Cependant, oui, on travaille avec Cibia. Déjà, pourquoi ? Parce que Paris-Ouest-la-Défense est sur Putot. Le campus cyber, d'après l'ANSI et d'après notre délégué Île-de-France, avec lequel je discute souvent, dit Serge, t'es à 7 minutes et demie du campus cyber. Et l'ANSI a une antenne au 12ème étage. Au campus cyber, j'y suis de temps en temps. Cibia, ils sont au 13ème. Paris-Ouest-La-Défense, on les a accompagnés de différentes manières. Quand ils ont créé le poste de RSSI à Paris-Ouest-La-Défense, ils ont créé finalement l'empreinte cybersécurité. Le DIH Cibia étant dans la cybersécurité, Cibia pour Cyber Security Intelligence Artificielle Hub, d'où Cibia, ils se sont dit, Serge, tu vas nous représenter. En tout cas, le RSSI, aujourd'hui c'est moi, prête le DIH Cibia, donc de ce pôle d'innovation et d'excellence, pour faire monter en maturité la cybersécurité dans le tissu économique des PME, des TPE et des startups. Comment ? Par deux choses. D'abord, on a aidé à recruter un expert en cybersécurité. Donc moi, je les ai aidés à recruter en recevant différents dossiers et en faisant passer des entretiens. Et puis ensuite, aujourd'hui, j'aide cet expert qui est formidable, avec lequel on accroche énormément à construire un catalogue de services basé sur de la technologie ou sur des unités d'œuvre. Quand il faut un pare-feu, on regarde quel type de pare-feu français on va mettre à l'ordre du jour. Qu'est-ce qui fait sens pour une TPE, pour une PME ? Vous ne construisez pas votre feuille de route cybersécurité. Pour une PME, pour une TPE, de la même manière que pour un groupe du CAC 40. Il y a certaines contraintes liées au domaine des petites et moyennes entreprises ou industries qui fait que vous n'arrivez pas avec tout un tas de briques à empiler les unes derrière les autres parce que la PME, elle sera noyée. Donc on les aide, comme ça, moi je leur apporte, ils apportent des noms, on apporte des noms et on construit le catalogue de services technologiques. Et puis également par unité d'œuvre. Qu'est-ce que j'appelle une idée d'oeuvre ? C'est pouvoir avoir des personnes qui vont vous faire une analyse de risque. Ça c'est purement, comme on dit dans notre bon vieux jargon, du jus de cerveau. Alors il faut des compétences derrière, mais c'est pas forcément un outil qui va vous faire l'analyse de risque. C'est un humain qui va passer du temps à interviewer les gens de la PME et en déduire quels sont les 2-3 risques dont la PME, auxquels elle fait face, et qu'il faut qu'elle diminue.
Etienne E.
Oui, on commence toujours par prioriser la première menace et ensuite on avance dans le process et puis on va toucher des risques minimes.
Serge Misik
Exactement. Et aujourd'hui, quand je dis nous essayons de nous réfléchissons à comment les aider davantage, c'est qu'ils sont peu nombreux, Cibia, aujourd'hui et qu'ils ont bien besoin d'aide. Donc en fait, ils s'aident avec des partenaires, des prestataires en cybersécurité qui vont aller voir les bénéficiaires, donc les clients. Donc les PME, les patrons, les gens des PME, les services informatiques s'il y en a, etc. En tout cas, ils vont avoir un certain nombre d'interlocuteurs et d'interviews à faire. Pouvoir avoir mené un questionnaire simplifié et avoir une évaluation de leur maturité de la cybersécurité, on va dire de presque zéro à quelque chose d'intermédiaire, ou de renforcé, ça peut être aussi une belle surprise. d'avoir une PME qui en est déjà à un niveau, on va dire élevé, ça arrive. Aujourd'hui, je pense que les établissements publics territoriaux, elle est là notre réflexion, sont des établissements qui ont un peu plus de monde que les mairies. Polde, ce n'est pas le bon exemple, on est 50. Mais grosso modo, vous prenez un autre établissement, GPSO par exemple, qui est Grand Paris Sud-Ouest, ou GPSEA, Grand Paris Sud-Est Avenir, ils sont beaucoup plus nombreux. Si vous prenez... Le département, le CD92, ou le CD78 ou le CD77, les conseils départementaux, et puis au-dessus la région, il me semble, à mon sens, que ces entités-là ont un rôle à jouer à accorder des ressources humaines et donc du temps, à dégager du temps pour leur personnel qui sont des experts en cybersécurité, parce qu'elles en ont, et leur dire peut-être que si Serge, tu vas voir un client, donc une PME, Tu vas en voir deux dans l'année ou trois dans l'année, et qu'à côté, mon voisin va en voir aussi deux ou trois dans l'année, et que ça s'ajoute, peut-être qu'on va couvrir un peu plus de PME et de PMI sur le territoire de l'Île-de-France. Et peut-être qu'à l'échelle nationale, puisque les EDIH, il n'y a pas que Sibia, on est à peu près une trentaine de DIH en France, un peu moins de 150 en Europe, on va réussir à toucher plus de PME et de PMI comme ça. Il faut vraiment mutualiser.
Etienne E.
Oui, mutualiser les efforts pour au final réussir à toucher. Aujourd'hui, on doit toucher quelques pourcents des TPE, PME. On est, j'ai l'impression, au début d'une démarche, on est au début d'une dynamique pour qu'à terme, pour que dans les 10 ans, etc., tout le monde soit embarqué. dans la cybersécurité et que toutes les entreprises, quelle que soit leur taille, aient mis en place les mesures essentielles.
Serge Misik
Alors, c'est même moins de temps que ça. C'est trois ans. C'est-à-dire que le DIH, il est comme le plan France Relance l'a été il y a quelques temps. Il est là pour vraiment tenter de cranter, c'est-à-dire de faire prendre conscience aux PME et PMI de lancer la machine, si je puis dire. Et ensuite, au bout de trois ans, d'avoir... eu suffisamment de temps pour donner les billes et dresser ce qu'on appelle un schéma directeur ou une feuille de route pour la PME et cranter encore une fois, l'avoir embarqué dans son parcours, dans son aventure cybersécurité qui est encore une fois l'objectif visé, c'est d'être dans un état de sécurité c'est ça la cybersécurité et donc d'ici trois ans, de lui faire prendre conscience que euh... Dans trois ans, le DIH s'arrêtera peut-être, la mission Cibia s'arrêtera peut-être, ou il y aura peut-être une phase 2, on ne sait pas, par la Commission européenne. S'il n'y en a pas, c'est qu'elle soit autonome, la PME. C'est que le tissu économique soit autonome. Vous savez que 99% de notre tissu économique est composé de PME, PMI. Le reste, les 1% qui restent, c'est le CAC 40. Donc aujourd'hui, on a du boulot.
Etienne E.
Une dernière question, parce qu'on arrive presque au terme de cette interview. Quelle est justement cette étape d'après pour une TPE ou une PME, sachant que toutes les TPE et PME ne peuvent pas avoir un DSSI ou un RSSI en interne et donc peuvent se retrouver dans une situation où personne, à part le dirigeant, n'est attaché à la cybersécurité. Quelle serait la solution au final pour qu'il y ait cette solution universelle de cybersécurité ?
Serge Misik
Évidemment, je n'ai pas la réponse exacte. J'espère que la prochaine étape, ce sera déjà de constater que les opportunités qui ont eu lieu via le plan France Relance, celles qui ont eu lieu en ce moment avec le plan France 2030 et l'opportunité donnée par la Commission européenne avec les EDIH, donc les pôles d'excellence et d'innovation dans différents domaines. dont la cybersécurité va permettre vraiment de cranter. Je pense que l'étape d'après, c'est de comprendre comment fonctionnent une PME et une PMI. J'aime bien dire un peu, penser out of the box, vous savez, sortir un peu de la boîte, et se dire, ah oui, la PME, elle ne fonctionne pas comme j'ai l'habitude de faire fonctionner la cybersécurité dans mon grand groupe, ou voilà. C'est de se mettre à leur portée, et d'avoir une myriade, ou en tout cas, des entreprises qui se créent. Quand je dis des entreprises, c'est des entreprises... expertes en cybersécurité et qui développent des catalogues adaptés à une PME ou à une PMI. Vous savez, une PME, c'est pas si compliqué que ça, la cybersécurité dans une PME. Il faut, encore une fois, je vais revenir sur le liste, identifier sa valeur, ses assets, ses actifs. Qu'est-ce qu'il a fait vivre ? Je sais pas, son fichier client, sa position, des brevets. En tout cas, une PME, elle a besoin d'identifier ses actifs. On n'est pas chez un grand groupe. On n'a pas des milliers et des milliers d'actifs. On a quelques-uns. Une collectivité ressemble énormément à une PME, en fait, finalement. Ensuite, on a besoin de la protéger, donc d'adresser le volet protection par deux, trois mesures technologiques. On a besoin de détecter, donc d'adresser le volet détection. Vous avez peut-être entendu parler de ce qu'on appelle les SOC, les Security Operations Center, ces fameux centres de supervision qui monitorent votre activité et essayent de trouver des choses un peu suspensives. paie en récupérant vos... en analysant ce qui se passe sur votre système d'information ou sur vos applications. Elle a besoin d'avoir quelque chose comme ça qui soit managé pour elle. Ça, c'est le volet détection. Elle a besoin à ce qu'on l'aide à mitiger ses vulnérabilités. Et là, je pense que dans la mutualisation, il y a beaucoup à faire parce que vous avez beaucoup de PME qui utilisent les mêmes actifs. Vous allez retrouver, par exemple, l'outil Salesforce à différents endroits, faisant la même chose. Donc, si on arrive... Les PME vont beaucoup dans le cloud maintenant, en mode SaaS. Et donc, du coup, il est facile dès lors de se dire, une fois que j'ai... évaluer les vulnérabilités de tel ou tel logiciel. Si je le corrige pour l'un, je le corrige pour l'autre. Et puis, à la fin, d'adresser sa résilience par des plans de continuité d'activité. C'est-à-dire, moi, qu'est-ce que j'ai pu voir ? Quand je suis arrivé à Pold, j'ai été sollicité pour une petite PME indépendante. On travaille avec eux, pas directement, mais est-ce que ça ne t'ennuie pas de les aider ? Qui venait d'être victime d'une cyberattaque. En mode gros poisson, c'est-à-dire le gros filet jeté à la mer et c'est quelqu'un qui a cliqué. Pas de pot, pas de sauvegarde. Voilà, pas de sauvegarde, 10 ans de travail perdu. Donc aujourd'hui, une PME, si elle prend en considération son travail, qu'elle sauvegarde ses données, qu'elle respecte des règles, ce qu'on appelle du 3-2-1, trois copies sur deux supports différents, dont une externalisée, donc une qui est inaccessible, parce que vos sauvegardes peuvent être également chiffrées. en interne, mais si elle est quelque part ailleurs sur le cloud et qu'elle est recopiée de cloud en cloud français, s'il vous plaît, si possible, en France ou sur des clouds européens, c'est une bonne pratique. Demain, finalement, vous n'avez pas besoin de payer la rançon puisque vous récupérez vos données. Vous n'avez pas besoin de les récupérer. Ce qu'il faut, par contre, c'est les chiffrer.
Etienne E.
Pour éviter le leak, le fameux Krypton leak.
Serge Misik
J'ai crypté. Je m'en moque. Je les aime, mes données. Elles sont sauvegardées. Et leak, vous allez faire fuiter des données chiffrées qui seront illisibles. Oui,
Etienne E.
le risque réputé. En fait, on a écarté d'abord le risque économique et le risque réputationnel dans la deuxième vague.
Serge Misik
Absolument, absolument. Et sur le fameux guide d'hygiène de l'ENSI qui comporte 42 bonnes mesures, finalement, on n'est pas obligé de prendre les 42 pour une PME. Peut-être qu'une dizaine suffit. Et il faut comprendre ça. Ce n'est pas si compliqué. de protéger des PME et des PMI. Ce qu'il faut, c'est aller convaincre et d'avoir le bon catalogue de services. Et c'est ce qu'on essaye de faire avec le DIH. Cibia, c'est de construire un catalogue en adéquation avec les besoins des PME et des PMI et des TPE.
Etienne E.
C'est parfaitement clair. Merci beaucoup Serge. Est-ce que pour terminer cette interview, vous avez envie d'adresser un message aux auditeurs justement en matière d'hygiène, puisque on est tous... Des travailleurs, mais on est tous avant tout des citoyens et des humains. Donc, est-ce que vous avez un message à passer d'hygiène numérique, de cybersécurité ?
Serge Misik
J'ai deux citations que j'aime beaucoup. Je suis quelqu'un qui aime bien lire. La première est d'un auteur américain qui s'appelle Stephen Covey. Elle est en anglais, mais vous la comprendrez facilement. C'est To know and not to do is really not to know Donc, connaître mais ne pas faire et vraiment ne pas connaître. La menace. Mais est-ce que... Vous voyez le sens ? Donc en fait, il faut s'approprier. Il ne faut pas se masquer. Vous savez, on parle souvent du black swan. Mais il y a dans la ménagerie des animaux à risque, il y a également le black elephant. Je ne sais pas si vous connaissez.
Etienne E.
Absolument pas.
Serge Misik
Il y en a quatre. On reviendra en saison 2.
Etienne E.
Avec grand plaisir.
Serge Misik
Si vous le souhaitez, pour parler de la ménagerie des animaux à risque. Mais le black elephant est l'éléphant qui est au milieu de la pièce. Dont on... connaît, on sait ce que ça va produire, on connaît la conséquence et on connaît l'impact. Mais on l'ignore, on a décidé de l'ignorer. Bon bah je vous dis pas ce qui peut arriver par la suite quoi. Voilà. Donc cette citation est là pour se rappeler que les Black Swan ça arrive, c'est-à-dire l'inconnu on savait pas et on connaissait pas l'impact, c'est ça un Black Swan ? Je vous expliquerai les deux autres, qui est le Jelly, le Black Jellyfish et le Grey Rhino une autre fois. Mais voilà, c'est en tout cas... être bien conscient que la menace est là et qu'elle ne va pas s'arrêter. Et la deuxième citation que j'aime beaucoup, c'est évidemment celle qui est très connue, elle est du philosophe chinois Lao Tzu. A journey of a thousand miles begins with a single step. Donc, pour dire que la cybersécurité, c'est vraiment un voyage qui commence un jour et qui s'adresse pas à pas. Il faut penser global, mais il faut agir local.
Etienne E.
Merveilleux. Merci pour votre disponibilité et tous ces précieux conseils.
Serge Misik
Merci à vous.
Etienne E.
A bientôt.
Serge Misik
A bientôt.
Etienne E.
Serge Mizik nous le rappelle, la menace est bien réelle et ses conséquences déjà bien connues. Quel que soit votre métier, il est indispensable de vous préparer à une attaque, car tôt ou tard, tout le monde finit par être pris dans les filets des cybercriminels. Si vous êtes une collectivité d'Île-de-France, à la tête d'une entreprise ou un acteur de l'économie sociale et solidaire, rendez-vous sur notre site sybih.eu. En attendant, n'hésitez pas à vous abonner à ce podcast sur votre plateforme d'écoute préférée. à commenter, noter ce podcast. Vos retours nous sont précieux. Également, nous suivre sur LinkedIn at Sybia, C-Y-B-I-A-H. À très vite.

About Safe & Sound

Bienvenue sur "Safe & Sound" ! Développé par CYBIAH en partenariat avec le Catalyseur de l’Innovation et de l’Entrepreneuriat propulsé par Paris Ouest La Défense (POLD), ce podcast est votre nouveau rendez-vous pour comprendre les enjeux cruciaux de la cybersécurité.

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Chaque épisode, d'une durée de 30 à 45 minutes, donne la parole à un expert de la sécurité numérique. Il est conçu pour guider dirigeant·es et salarié·es dans la compréhension des enjeux cyber et les préparer efficacement aux cyberattaques. Abonnez-vous pour rester safe & sound !

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

À propos de Serge Misik

Toujours dans l’action, Serge Misik continue de faire de la cybersécurité un levier essentiel pour bâtir des environnements numériques plus sûrs et résilients.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Serge Misik
Ce qui fait la particularité d'une attaque d'origine cyber, c'est qu'elle est fulgurante. Vous ne construisez pas votre feuille de route cybersécurité pour une PME ou pour une TPE de la même manière que pour un groupe du CAC 40.
Etienne E.
Bienvenue dans ce troisième épisode de Safe & Sound. Aujourd'hui, nous avons rencontré Serge Mizik, responsable de la sécurité des systèmes d'information de Paris-Ouest-la-Défense, un territoire regroupant 11 communes de l'Ouest parisien et coproducteur de ce podcast. Passionné de cybersécurité, il nous dévoile les clés pour comprendre les vulnérabilités et les enjeux cyber. Alors installez-vous et laissez-vous guider par cet expert. Vous écoutez Safe & Sound, le nouveau podcast dédié à la cybersécurité de Cibia, un programme coordonné par le Campus Cyber, cofinancé par la région Île-de-France et l'Union européenne. Il offre un accompagnement en sécurité numérique entièrement pris en charge pour les entreprises les acteurs de l'économie sociale et solidaire, ainsi que les collectivités franciliennes. Pour renforcer la sécurité de vos systèmes et bénéficier de cet accompagnement personnalisé, rendez-vous sur sybia.eu. Ce podcast est produit en partenariat avec le catalyseur de l'innovation et de l'entrepreneuriat de Paris-Ouest La Défense. Cet épisode est réalisé par l'Agence JEF. Bonjour Serge.
Serge Misik
Bonjour.
Etienne E.
Merci beaucoup de vous rendre disponible pour cette interview.
Serge Misik
Avec plaisir.
Etienne E.
Pour commencer, pouvez-vous vous présenter auprès de nos auditeurs ?
Serge Misik
Oui, absolument. Je m'appelle Serge, Serge Mizik. Je suis RSSI. C'est un grand acronyme pour dire que je suis responsable de la sécurité des systèmes d'information. En fait, qu'est-ce que je fais ? Je m'occupe de la sécurité de tout le patrimoine informationnel. Toutes les données, grosso modo, toute la protection, tout ce qui a de la valeur pour Paris Ouest, la Défense. Voilà, auparavant j'étais chez Systra où j'étais également RSSI et où on en parlait juste un petit peu avant j'ai fait évoluer la fonction vers ce métier de ciseaux finalement qui a une vraie différence entre un RSSI et un ciseaux plus la partie business dans ciseaux et création de valeur alors que RSSI reste un peu plus technique mais ça évolue en France et encore auparavant j'étais à l'AFP où on va dire je suis resté longtemps à l'école, à l'AFP, parce que j'y ai passé 20 ans. Donc en passant par différents métiers, mon background de base c'est ingénieur réseau et télécom et j'ai forgé ma carrière pour devenir RSSI parce que dès lors que j'ai rencontré un de mes mentors, je me suis dit c'est ça que je veux faire.
Etienne E.
Justement, comment on devient RSSI ? Comment on attrape le virus, entre guillemets, de la sécurité informatique ? Quelles sont ses motivations et comment on construit son parcours pour devenir RSSI ?
Serge Misik
Je ne pense pas qu'il y ait aujourd'hui un parcours, il n'y a pas de parcours tout tracé pour devenir RSSI. Je vais répondre à la première question, comment est-ce qu'on attrape le virus ou comment est-ce que moi j'ai attrapé le virus ? Je vais vous le dire dans les termes tels que me l'a dit un jour mon mentor qui travaille aujourd'hui chez Airbus, puisqu'il est le numéro 3 de la sécurité chez Airbus. Il est resté mon mentor, il était à l'AFP auparavant. Il m'a dit aujourd'hui Serge, puisque tu viens d'arriver, tu es le petit nouveau, tu vas travailler avec moi et nous allons burner les IGX. Wow, j'ai dit qu'est-ce que c'est que ce truc là ? Qu'est-ce que c'est que ce langage ? Il me dit on va simplement mettre à niveau un gros équipement de sécurité de télécommunication. Et en fait, il faut le faire de manière pragmatique. Il faut le faire en suivant un mode d'emploi parce que sinon, il peut y avoir une rupture. de communication, une indisponibilité et c'est là que j'ai commencé à mettre mon pied dans la sécurité puisque la disponibilité est un des critères de sécurité. Je me suis dit c'est ce truc là que je veux faire mais ça a été le premier déclencheur. Le deuxième déclencheur, c'est que c'est réellement en fait un parcours où il faut aimer l'humain. Il faut aimer l'humain parce que nous sommes entourés de technologies. Mais d'humain, et moi, je suis passionné par l'humain. Donc, avec ces deux critères, je crois qu'on m'a donné le virus et il ne m'a jamais quitté. Je n'ai jamais porté de masque pour ça, en tout cas.
Etienne E.
Vous avez parlé d'humain. La collaboration est au cœur, j'ai l'impression, de votre métier. D'après vos premiers mots, à quoi ressemble votre quotidien ? À quoi ressemble votre collaboration, que ce soit avec vos collaborateurs dans le service de la sécurité informatique, comme avec les agents de Paris Ouest La Défense ?
Serge Misik
Alors aujourd'hui, je suis un RSSI qu'on appelle mutualisé. ou partagé, qu'est-ce que ça veut dire ? Ça veut dire que Paris-Ouest, la Défense, a eu l'idée il y a un an et demi, deux ans, de créer en fait cette fonction de mutualisation en se disant les RSSI sont des profils rares, les RSSI on va dire un peu seniors, comme moi, avec, j'attaque mes 25 ans d'expérience maintenant, alors pas en tant que RSSI mais dans le monde de la cyber. Donc j'en apprends tous les jours, mais cependant, voilà, j'ai quelques acquis, quelques heures de vol, comme on dit. Ils se sont dit, puisque les RSSI, les profils sont rares et qu'on a du mal à recruter, on va mutualiser. Et donc en fait, Paris-Ouest-La-Défense, c'est un établissement public territorial qui regroupe différentes mairies, 11 pour être précis. Elles se sont dit, plutôt que d'avoir 11 RSSI, on va en prendre un et qu'on va partager. Donc en fait, mon quotidien... Il est de me balader de mairie en mairie et d'être le RSSI de 11 mairies plus l'EPT, l'établissement public territorial Paris-Ouest-La-Défense, donc 12 contextes, et en fait de les accompagner sur ce que j'appelle, j'aime bien appeler communément le volet des 3P. Pourquoi 3P ? Le premier pour people, les gens, le deuxième pour product, de la technologie, ce qu'il en faut. Et le troisième pour process, parce qu'il faut un peu processer tout ça. Donc en fait, je me balade et le but étant d'élever le niveau de maturité de ces collectivités, déjà de savoir à quel niveau elles en sont, et de savoir constamment quel sera le next step. Et de l'élever petit à petit et de rentrer dans une démarche d'amélioration continue, donc d'être bon élève on va dire, et de diminuer les impacts de cyberattaques, mais pas que. parce que les attaques peuvent venir de l'externe, mais également de l'interne.
Etienne E.
Il y a une différence entre RSSI chez Systra ou à l'AFP, par exemple, et dans une collectivité territoriale ou dans une mairie. Est-ce que le travail est le même ou il est foncièrement différent ?
Serge Misik
La base du travail d'un RSSI est globalement toujours la même. On travaille sur ce fameux triptyque qui est disponibilité, intégrité, confidentialité. Épreuve, un quatrième, c'est-à-dire la traçabilité. Cependant, on l'adapte à notre environnement. Je crois que la majeure, les grandes différences que je note dans une collectivité publique, ou en tout cas dans le secteur public, et dans un établissement comme Paris-Ouest-La-Défense, mais également les mairies dans lesquelles je vais, premièrement, c'est le budget. Je gérais quelques millions par le passé, je gère quelques centaines de cas maintenant. Donc on ne fait pas... Je ne peux plus me payer une Porsche, je peux me payer une Volkswagen.
Etienne E.
C'est peut-être tout aussi fiable.
Serge Misik
On ne fait pas tout à fait la même chose. En tout cas, ça c'est la principale différence. La seconde différence sont les ressources humaines. On a moins de personnes. Par le passé, j'ai eu une équipe avec des personnes seniors que j'encadrais et on travaillait tous en équipe au sein de la structure ou du pôle cybersécurité. Là, pour l'instant, je suis mutualisé, mais je suis mutualisé tout seul, à moi tout seul. Il est prévu de recruter, mais pour l'instant, c'est un peu en stand-by. On verra sur 2025, parce que je renforce le pilier technologique, comme je vous le disais, les 3P. Le volet people va venir. Le troisième élément différenciateur, c'est que dans le secteur privé, vous savez, il y a ces fameux COMEX, ces comités exécutifs. où vous avez les patrons, la direction générale, et où moi, par le passé, j'étais pas membre, mais invité. Aujourd'hui, je suis pas dans les codires, je suis pas dans les comités de DGS, qui sont les directeurs généraux des services, c'est-à-dire des personnes qui répondent directement aux maires dans les mairies. Et donc, du coup, le volet humain lié au top management est manquant. est un maillon manquant, mais on y arrive, on commence à y venir. Je pense que je les bassine avec la cybersécurité et donc je vais les voir de manière non anxiogène. Donc du coup, il m'invite maintenant pour me dire Serge, tu as plein d'idées, tu en as une à la minute, il va falloir se calmer un petit peu, mais du coup, je les embarque avec ma passion. Ça se sent que je suis passionné, je pense.
Etienne E.
Vous sentez une prise de conscience au niveau de la cybersécurité ces derniers mois, voire ces dernières années, avec justement une augmentation palpable de la menace ?
Serge Misik
La menace, elle augmente constamment. Je crois qu'on est passé d'une menace typiquement de ransomware, elle a évolué je crois en 2023. Alors les ransomware sont ces fameux spyware logiciels qui chiffrent vos données, puis après on vous demande une rançon. En 2023, il y a eu une augmentation de près de 50%. Donc ça évolue constamment. Oui, je sens une prise de conscience. Je ne saurais pas forcément l'expliquer. Je pense qu'il y a eu beaucoup de volonté de la part de la France, de la part de l'Europe, de la part des pays comme Israël, qui sont très bons en cybersécurité. Il y a un enjeu démographique derrière, il y a un enjeu stratégique pour des pays comme les États-Unis, comme Israël, comme d'autres. Et l'Europe a son mot à dire. Donc du coup... Je pense que pour ne pas rester à la traîne, puisque les méchants ont toujours une longueur d'avance, ils n'ont que ça à faire, ils n'ont qu'à attaquer. Nous, il faut qu'on se défende et de plus en plus, on assiste à un changement de paradigme qui est d'avoir une posture offensive. On va essayer d'analyser la menace, c'est-à-dire qu'on mêle un peu, ça devient de moins en moins, c'est toujours technique. Cependant, on va trouver du... profiling c'est à dire comprendre la personne menaçante comprendre pourquoi est ce qu'elle agit pourquoi est ce qu'elle m'en veut c'est ce qu'on appelle la street intelligence passe à cela comme comme l'intelligence artificielle arrive il est clair qu'aujourd'hui on n'a pas d'autre choix que de renforcer nos postures et de moins en moins je vois les entreprises en tout cas des collectivités attendre de se prendre quelque chose qui fait mal et rentrent la cybersécurité dans leur stratégie à l'échelle globale.
Etienne E.
Est-ce que la menace qui pèse sur les collectivités est la même que celle qui pèse sur les entreprises ? Vous parliez des ransomware qui touchent beaucoup les entreprises parce que la data a une valeur considérable, c'est l'or des entreprises. Est-ce que c'est la même menace pour les collectivités ou elle est différente ? Vous parliez aussi de profiling. Est-ce que les personnes qui attaquent les collectivités sont différentes, animées par d'autres vindications, d'autres motivations ?
Serge Misik
Alors on a toujours face à nous des personnes qui sont malveillantes. Et dans le domaine d'où je viens et dans les collectivités où je suis aujourd'hui, ce qui prime c'est la cybercriminalité. Il y a quatre types de menaces. Il y a la cybercriminalité, donc là c'est typiquement la pas du gain. Vous avez la déstabilisation, donc on l'a vu grandement avec le contexte géopolitique entre l'Ukraine et la Russie, et ce qui se passe en ce moment avec l'Europe. Mais pas que, puisque la déstabilisation est une menace qui peut affecter les collectivités, je pourrais revenir dessus par la suite. Vous avez le sabotage, et puis vous avez l'espionnage. Voilà les quatre grands types. L'espionnage, on va plus le retrouver... à l'échelle des États ou à l'échelle dans les domaines industriels.
Etienne E.
Les fameuses industries vitales.
Serge Misik
Là où on manipule du secret, de la prod, de la... Voilà. Dans les collectivités, vous parliez de data et d'or. On l'a aussi. On l'a aussi. Pourquoi ? Parce qu'on manipule des données des citoyens. Des données qui valent extrêmement cher. Des données qui, sur le Darknet, se vendent très cher. Les collectivités manipulent des cartes nationales d'identité. Manipulent des empreintes biométriques quand vous faites votre passeport, manipulent des passeports, manipulent des données de santé, manipulent des déclarations d'imposition pour calculer les quotients familiaux, pour avoir droit à des aides ou pas. Et donc en fait, toutes ces données-là sont extrêmement importantes et attirent les cybercriminels qui vont vouloir s'en emparer pour les revendre à prix d'or justement ou en faire des faux et les revendre également sur le Darknet.
Etienne E.
Ok, donc en fait, ils utilisent les mêmes techniques que lorsqu'ils attaquent une entreprise privée. Ils viennent bloquer et chiffrer les données de l'entreprise pour essayer ensuite de tirer une rançon, pour ne pas les diffuser, voire pour les rendre à la collectivité.
Serge Misik
Complètement. On est globalement sur les collectivités. Le risque, cette fois, on parlait de menace tout à l'heure, là je parlais de risque opérationnel. Donc technique, ce que je vois, c'est clairement... Ce qu'on appelle l'usurpation d'identité, l'ANSI en classe 9, 9 risques. Il y en a deux qu'on peut séparer. Il y a le phishing, vous savez ce fameux hameçonnage qui vise à vous envoyer un faux quelque chose, un faux SMS, un faux email. Alors évidemment majoritairement ça va être un faux email qui va usurper votre service informatique, se faire passer pour votre service informatique. Il faut mettre quelque chose à jour et cliquer là. Le fameux cliquer là ou ouvrir une pièce jointe. C'est comme ça que le malware, en tout cas le virus, rentre dans le système d'information et fait quelque chose, agit. en provoquant des dommages, ou effectivement, le rançon JCL, donc le ransomware, qui chiffre les données et ensuite, pour pouvoir vous les déchiffrer, vous demande une rançon, ce qui aujourd'hui, évidemment, ne vaut plus du tout la peine. Je lisais dernièrement un article, encore une fois, ce qu'on appelle le crypt and leak, c'est-à-dire le je crypte ou je chiffre, puisqu'on ne dit pas crypter, mais on dit je chiffre. Et je leake, donc je fais fuiter. C'est-à-dire qu'aujourd'hui, il y a l'effet qui se coule, je vous ai chiffré vos données, et le double effet qui se coule, vous avez payé la rançon, mais je les ai quand même diffusées sur le Darknet ou sur Internet.
Etienne E.
Oui, il passait dans les conditions générales, il y avait marqué que c'était juste pour les récupérer, en fait, la rançon. Oui,
Serge Misik
voilà, dans les conditions générales de vente, avec le petit astérix en bas, où il y a marqué surtout ne pas croire. Exactement. Il n'y avait pas marqué que finalement, après avoir payé la rançon en Bitcoin à quelques millions, nous allions quand même les... les divulguer sur internet, vous causant des dommages.
Etienne E.
Vous sentez une recrudescence des attaques, vous, ces derniers temps ?
Serge Misik
On sent que les attaques augmentent, on sent surtout qu'elles se complexifient. L'intelligence artificielle arrive, elle est même là. Le machine learning, l'intelligence artificielle, légère on va appeler, on va pas lourde, c'est quand on a une intelligence qui est capable de réagir avec une émotion. ou forte, comme on dit, mais l'intelligence artificielle faible qui est capable d'auto-apprendre, on l'a vu avec les fameux Ausha de JPT, on reste sur un jeu du chat et de la souris, c'est-à-dire les hackers bénéficient de plus en plus d'outils très sophistiqués et pour le mortel qui n'est pas expert en cybersécurité, déjà pour les experts ça devient compliqué, pour ceux qui ne sont pas experts ça devient... extrêmement compliqué de différencier le frais du faux. C'est comme les fake news ou les deepfakes maintenant. On voit bien ce que la technologie est capable de faire. Là où par le passé, on avait majoritairement des groupes, ces fameux groupes APT, vous savez, APT27, APT28, la sophistication était humaine. C'est-à-dire qu'il y avait un cerveau humain derrière. Là, il y a toujours de l'humain derrière, parce que les cybercriminels sont... Hyper bien organisé, c'est des véritables PME sur le Darknet. Vous savez que vous pouvez vous faire embaucher, vous allez avoir un salaire x10, x12, x20, illégal évidemment. Et puis vous courez un risque de vous faire attraper et de passer quelques belles années derrière des barreaux. Cela dit, il y a de plus en plus les machines qui aident maintenant les hackers et ce qu'on appelle les bots, les robots. Vous avez des machines qui vous attaquent avec un niveau de sophistication assez important.
Etienne E.
D'accord, l'intelligence artificielle, il y a le côté deepfake, etc. Mais il y a aussi un côté, ça permet de complexifier l'attaque, de faciliter certaines tâches, c'est ça ? Ça permet d'accélérer sur le déploiement de l'attaque ?
Serge Misik
Oui, ça permet de faire beaucoup de choses. Ce qu'on appelle une fameuse kill chain, c'est-à-dire la chaîne d'attaque en cet état, du moment où on va faire une phase de reconnaissance. Je vais me renseigner un petit peu sur l'entreprise que j'ai comme cible. Je vais amasser de l'information. Puis ensuite, je vais construire ma menace et je vais livrer ma menace, ce qu'on appelle la charge, qui contient la bombe, finalement, qui va exploser dans votre entreprise ou dans votre collectivité. Alors, qui va exploser en faisant du bruit ou en faisant pas de bruit ? Je ne sais pas si vous vous souvenez de l'attaque de TV5Monde. dont la menace avait été présente pendant très longtemps dans le système d'information, sans que personne ne s'en aperçoive. Aujourd'hui, je crois qu'on est sur à peu près une cent cinquantaine de jours en menace présente sur un système d'information sans qu'elle soit détectée. Attention, j'essaye de ne pas faire peur. Aujourd'hui, heureusement, on a des outils qui détectent pas mal de choses. Mais vraiment, si l'attaquant vous a ciblé, c'est comme celui qui veut vous cambrioler aujourd'hui. Vous avez beau avoir un système d'alarme, Vous avez beau avoir trois Dobermans, deux tourelles avec des gardes armés, il rentrera.
Etienne E.
Ça ne fera que le ralentir ou lui rendre la tâche un peu plus complète.
Serge Misik
Absolument.
Etienne E.
Mais effectivement, cette information, justement, le commissaire Fabrice Billot de la BL2C, donc la brigade de lutte contre la cybercriminalité, nous a sensibilisés à ce point qui est maintenant les attaquants peuvent rester des mois dans un système d'information, collecter, regarder en fait jusqu'à où ils peuvent pousser les ramifications. Avant de rendre l'attaque visible pour maximiser le gain qu'ils font derrière.
Serge Misik
Tout à fait. Ce qui s'est produit, c'est que le cybercriminel, c'est de la criminalité pure. Donc, c'est l'appât du gain. Donc, par le passé, moi, j'ai connu des attaques. J'en ai vécu deux, des cyberattaques. Pas de grande ampleur. Mais oui, il a fallu payer en bitcoin à l'époque où le bitcoin était à 300 dollars. J'aurais dû investir à ce moment-là. J'ai été bête. Mais bon,
Etienne E.
il fallait en garder un pour vous au moment de la réception.
Serge Misik
Qu'est-ce que faisaient ces fameux hackers ? Ils envoyaient plein d'attaques et récoltaient des petites sommes. Ces petites sommes accumulées faisaient qu'à la fin, ils avaient une somme qui se chiffrait à quelques zéros. Aujourd'hui, ils vont analyser beaucoup plus leur contexte, la menace, et créer une menace dont on ne pourra pas se parer. Il faut être conscient. Aujourd'hui, quand on a décidé de vous attaquer et d'être la cible, c'est extrêmement compliqué. Vous pouvez réduire les conséquences et les impacts, mais l'empêcher...
Etienne E.
C'est assez intéressant, vous avez subi deux attaques apparemment de faible ampleur. Ça éveille forcément ma curiosité. Comment on réagit quand il y a une cyberattaque et comment on fait pour préserver au maximum l'intégrité de la donnée, l'intégrité des systèmes d'information ? Qu'en tenir au maximum comme un bateau qui a une voie d'eau pour éviter le naufrage ?
Serge Misik
Ce qu'il faut savoir, c'est que comme on réagit, on réagit comme on peut. Tout d'abord, parce que la première fois, on n'est jamais préparé, mais je crois qu'on n'est jamais de toute manière préparé. On a beau faire des exercices, s'entraîner, etc. Ce qui fait la particularité d'une attaque d'origine cyber, c'est qu'elle est fulgurante. Tout d'un coup, ça commence souvent par un appel, et puis deux, et puis trois, et puis selon la taille de votre entreprise, mille ou dix mille. Je veux dire, il se passe... Donc là, vous savez forcément qu'il se passe quelque chose de louche ce matin-là, ou cette nuit-là, ou ce week-end-là. Parce qu'évidemment, ça n'arrive pas à 10h30 du matin, quand vous êtes concentré avec toutes vos équipes de présent.
Etienne E.
Oui, comme les attaques militaires, on les fait toujours au moment où le défenseur est le plus vulnérable.
Serge Misik
Exactement. Mais grosso modo, les premières, ce qu'on appelle les emergency measures, donc les mesures d'urgence qu'on met en place, sont des mesures très simples et très logiques. Déconnecter un PC, ne pas l'éteindre parce que sinon on perd ce qu'il avait en mémoire, on perd la preuve de l'attaque. Quand on va aller déposer plainte, il faut qu'on ait des preuves. Donc déconnecter un réseau, isoler des bouts de réseau. Donc on avance petit à pas et imaginez une autoroute ou une petite route de campagne. Et puis vous avez un accident sur cette route de campagne. Et puis cet accident a des conséquences sur la départementale qui est juste à côté. Mais ça a aussi un incident sur la nationale qui n'est pas très loin. Et puis ça a un autre incident ou une autre conséquence sur l'autoroute finalement A7 qui est à côté. Qu'est-ce que vous allez faire ? Vous allez décider, vous les forces de l'ordre, accompagné d'autres, de fermer tous ces tronçons. Nous c'est pareil. On ferme de manière à endiguer l'attaque à la... concentrée au maximum là où elle est. Je rappelle qu'en 2019, l'attaque de Bouygues Construction au Canada, suite à un ransomware, donc à ce fameux rançon JCL, a été présente sur ses serveurs de Vancouver, je crois, à un certain temps. Huit heures après, elle était présente au siège à Aylancourt, donc à côté de Versailles. Je vous le dis, c'est fulgurant.
Etienne E.
C'est très binaire en fait, soit tout va bien, soit tout s'effondre.
Serge Misik
Exactement, c'est tout d'un coup tout était au vert et tout d'un coup tout devient en rouge. Quand vous arrivez à voir le rouge ? Parce que par moment, les hackers masquent le fait qu'ils arrivent à prendre le contrôle. Ça c'est vrai par exemple dans l'industrie, ils prennent le contrôle des systèmes qui surveillent tout le système industriel, comme par exemple l'attaque de la centrale nucléaire en Iran, vous savez, où en fait... Les gens qui étaient derrière les panneaux voyaient tout au vert. Tout va bien. Mais en fait, derrière, la centrale augmentait d'un demi-degré toutes les 24 heures, je crois.
Etienne E.
Ce n'était pas justement, vous parliez de risque de l'attente, les clés USB qui s'étaient baladées jusqu'à arriver dans la centrale nucléaire ?
Serge Misik
Alors si, on a su un petit peu le fameau de l'histoire. Ils s'en sont pris au patron. Quand je dis ils, c'est les Russes. Si je me souviens bien, ils s'en sont pris au directeur de ce système industriel qui gérait directement la centrale. Il devait faire une mise à jour d'un équipement industriel. Et en fait, tous les soirs, il rentrait avec une clé USB qu'il mettait chez lui. Et finalement, ils ont réussi, par un biais décalé, quand on dit qu'il faut faire attention aux réseaux sociaux, à se dire... On ne va pas l'attaquer lui directement parce qu'il est assez bien sensibilisé. On va attaquer sa femme. On va poursuivre sa femme en ingénierie sociale. Vous savez, étudier justement le mode opératoire de sa femme. Comment est-ce qu'elle passe ses journées ? Qu'est-ce qu'elle fait ? Etc. Et ils ont piégé sa femme. Et elle est rentrée avec une clé USB qu'elle avait trouvée quelque part qui contenait un virus. Elle l'a posée à la maison. Et lui, le matin, exactement le même modèle, je crois qu'il a pris la clé qui contenait ce virus. Et le lendemain, il a voulu faire sa mise à jour. La mise à jour, je ne crois pas qu'elle ait marché.
Etienne E.
La parfaite illustration de comment une attaque peut être sophistiquée et la vigilance que ça requiert pour s'en prémunir. Et justement, quand on gère la cybersécurité d'un établissement public territorial et de 11 communes, et pas des moindres, on parle de communes comme Bourbevoie plutôt, puisqu'on enregistre ici à la Défense, mais il y a aussi des villes comme Saint-Cloud. de Nuit-sur-Seine, Levalois, etc. On ne va pas toutes les citer, mais en tout cas, on a des villes importantes avec un tissu économique très dense, beaucoup de population. Comment, au final, on arrive à préparer les villes, les systèmes d'information et à en assurer la résilience, surtout quand on est, au final, tout seul pour un territoire énorme en termes de population et en termes de PIB ?
Serge Misik
La première chose quand je suis arrivé, c'est que j'ai eu la chance d'avoir, comme on dit, un terreau fertile. C'est-à-dire que j'ai des collègues DSI. Vous avez rencontré ma DSI tout à l'heure. Donc j'ai des DSI, des directeurs ou des directrices des systèmes d'information, puisque je suis rattaché aux systèmes d'information, qui sont très portés sur l'aspect cybersécurité. Qu'est-ce qui a fait ça ? Je ne sais pas. L'appétence. En tout cas, il y a une appétence assez importante pour pouvoir gravir les échelons, step by step, pas par pas, pour arriver à une maturité, on va dire, plus élevée, plus évoluée. Et c'est peu dire parce que dans les collectivités, on part de bas, on part vraiment de très bas. Mais il y avait déjà des choses en place. Je vous parlais des 3 P tout à l'heure, qu'est-ce qu'on met en place en premier ? Qu'est-ce que j'ai mis en place en premier ? De la technologie. On met en place des technologies et qu'est-ce qu'on met en place ? On met en place des technologies de protection. J'ai commencé par mettre des technologies de protection. Je me suis basé sur un cadre que j'aime bien, qui est le cadre du NIST, qui est un framework américain, un cadre de travail américain. le NIS pour National Information Institute and Technology. Il parle de cinq piliers, l'identification, la protection, la détection, la réponse à un incident et ce que j'appelle moi, ce qu'il appelle recover en anglais, moi j'appelle ça la résilience ou la cyber résilience, comme on a tendance à l'appeler aujourd'hui. Et on travaille sur ces cinq piliers indifféremment. Alors le nouveau framework V2 a introduit la gouvernance, c'est-à-dire gouverner, piloter, driver. Mais je la sors un peu à part, parce que j'ai une vision différente de la gouvernance vue du risque. Mais en tout cas, j'ai travaillé sur la partie briques technologiques et encadrement par des processus. Donc en fait, je leur ai dit par priorité, vous n'avez pas ça, vous n'avez pas ça, il vous manque ci, il faut qu'on travaille pour les mettre. Et ce faisant, on a réussi à diminuer les risques. Évidemment, il reste encore énormément de travail, mais en tout cas, on fait ce qu'on peut pour vraiment... minimiser les risques. Vous savez, il y a souvent cette phrase de dire si je vais être attaqué et on ne dit plus si je vais être attaqué mais quand je vais être attaqué Et moi, je vais au-delà de cette phrase, puisqu'on connaît, on a éliminé la probabilité et qu'on est sûr qu'on va se faire attaquer, le temps est là, j'ai éliminé le temps, puisque je pars du principe qu'on va se faire attaquer, et donc du coup, maintenant, on travaille sur la réduction des impacts et des conséquences.
Etienne E.
Comment on fait ? On segmente, on cloisonne un maximum les différents systèmes d'information, ou du moins les différentes branches ?
Serge Misik
Déjà, on segmente le réseau et on filtre dans le réseau, où on met des briques qui font ça. Déjà, on essaye d'empêcher la personne malveillante de pénétrer, de taper à la porte et d'avoir une porte ouverte et de rentrer. Ça, ça s'appelle gérer les vulnérabilités et les corriger. Je pense que c'est responsable de 80%... Des attaques, aujourd'hui, si tout le monde adressait une bonne gestion des vulnérabilités, ce serait déjà un petit peu plus compliqué. Mais une fois qu'on est rentré, on va éviter de se balader à droite et à gauche, ce qu'on appelle les mouvements latéraux. Et pour ce faire, on va donner le moins de droits possibles à un utilisateur. Moi je suis RSSI, mais mon PC a des droits lambda. C'est-à-dire que je ne suis pas administrateur de mon PC. Euh... Est-ce qu'il veut dire que si on en prend le contrôle... Je ne peux pas faire grand chose avec. Je n'ai même pas des droits pour me connecter sur des applications. J'ai des collègues qui le font, qui ont ces droits-là, évidemment, avec lesquels je travaille dans les DSI. Mais moi non, pourquoi ? Parce que les RSSI sont des personnes ciblées, aussi bien que les personnes des ressources humaines, qu'aussi bien que les personnes des finances, les directeurs financiers ou directrices financières, les directeurs généraux des services. Ce sont des personnes, ce qu'on appelle nous dans notre jargon, et même ce n'est pas un jargon, mais les VIP, les Very Important People. On a tendance aujourd'hui à les appeler aussi les very attacked people les VAP, donc les gens véritablement ciblés. Donc on va définir qui doit avoir un minimum de droits et qui doit en avoir un peu plus. Et ensuite, on va jouer sur ces droits. Dans ceux qui doivent en avoir un peu plus, on va dire ok, une fois qu'on a mis ce qu'on appelle le moindre privilège en action, de least privilege, on va mettre ce qu'on appelle le need to know en action, le droit d'en connaître. C'est-à-dire que pour faire mon travail, moi, j'ai peut-être pas besoin... de connaître ou de savoir, d'avoir telle ou telle information. Donc je vais restreindre l'accès à l'information qui m'est utile dans mon travail au quotidien. Et c'est ce qu'on fait dans les collectivités, on réduit ses droits en travaillant sur la gestion des identités et des accès. Il est important de filtrer au plus fin possible et de faire une revue et de corriger constamment et d'affiner. Vous avez beaucoup de mobilité dans les collectivités, vous avez des agents de la fonction publique, qui un jour étaient au pôle du traitement des eaux ou des déchets et puis qui le lendemain se retrouvent parce qu'ils l'ont souhaité et ont eu une formation à travailler pour le développement durable ou alors pour le système d'information géographique. On s'assure que les droits qu'ils avaient auparavant leur sont retirés parce qu'il n'est plus nécessaire qu'ils les aient pour leur travail de tous les jours.
Etienne E.
Et justement, vous avez parlé des briques technologiques comme première étape pour sécuriser. Maintenant, on parle de l'humain à travers cette gestion des accès. Comment on embarque les agents et on les sensibilise au-delà de cette question d'accès qui est peut-être plus back-office, qui est peut-être une gestion, une vision que vous, vous avez en tant qu'ARSSI, mais comment on embarque les agents à être sensibilisés à la sécurité informatique, à ne pas cliquer sur n'importe quoi, à ne pas télécharger une application parce que plus rapide pour décompresser un fichier PDF. Comment on arrive à... à faire en sorte que tout le monde ait cette hygiène numérique qui est indispensable au sein d'une collectivité comme d'une entreprise.
Serge Misik
Alors il y a différentes méthodes pour sensibiliser les personnes. C'est comme dans toute gestion du changement, vous allez avoir des personnes qui vont avoir un mindset, donc un état d'esprit très ouvert et vous allez avoir des récalcitrants, vous allez avoir des gens qui vont avoir peur parce que ça fait très peur. On ne sait pas ce que c'est vraiment que la cybersécurité, c'est une nébuleuse, c'est très IT. On apparente souvent ça derrière à des gens qui sont des geeks, vous savez le fameux hacker en capuche, avec son sweat à capuche, c'est complètement faux cela maintenant évidemment, on n'a plus du tout cela. J'apporte cette sensibilisation par expliquer très simplement et très clairement, donc en vulgarisant et en faisant des parallèles avec leur vie privée régulièrement. Vous êtes spammés tous les jours, c'est-à-dire on vous embête. tous les jours vous recevez vous vous souvenez de cette mode de cette phase où on recevait constamment des sms sur le compte professionnel de la formation le cpf donc aujourd'hui les utilisateurs ils ont cette chance ou cette malchance en tout cas c'est une opportunité pour nous et on l'utilise de recevoir dans la vraie vie ce qu'ils peuvent recevoir en milieu entreprise en milieu professionnel donc du coup ça leur parle aujourd'hui dans votre banque vous avez un compte bancaire on vous ôte on vous oblige votre banque vous oblige de vous double authentifier. Vous avez votre compte, votre numéro de compte qui est votre identifiant ou autre chose. Vous avez un mot de passe qui aujourd'hui se complexifie, 12, 13, 15 caractères avec des majuscules, des minuscules, des points d'exclamation, enfin en tout cas des caractères spéciaux, etc. Et si possible, évitez d'avoir le même mot de passe pour toutes les applications. Et vous ne pouvez pas réutiliser ce mot de passe plus de trois fois. Il y a un niveau de profondeur assez élevé, surtout pour les banques. Et vous avez maintenant ce fameux jeton que vous recevez soit sur un téléphone portable, soit sur une application, soit parce que sur votre téléphone vous recevez une notification, il faut approuver quelque chose. La double authentification qu'on appelle le 2FA pour Two Factor Authentication, ou MFA, Multiple Factor Authentication, pour au-delà de deux, c'est-à-dire trois authentifications, quatre authentifications. Et bien en fait les personnes commencent à s'y habituer. Votre compte Gmail, si vous avez un compte Gmail, vous pouvez activer la double authentification. Et Google parle là-dessus. Microsoft avec des Microsoft Authenticator, l'application, ça commence à se démocratiser. Donc en fait il n'y a pas une application aujourd'hui qui... Enfin il en existe encore évidemment, trop à mon goût, mais on trouve de plus en plus des applications qui proposent ces mécanismes-là. Et donc du coup, en recevant... des choses qui vous embêtent dans la journée, des faux coups de fil qui se font passer pour votre fournisseur d'énergie ou votre provider, votre fournisseur d'accès Internet, en recevant des faux SMS, en recevant tout un tas de choses, je pense que de plus en plus, les utilisateurs commencent à être habitués. Donc ce qu'il faut aujourd'hui, c'est démystifier la cybersécurité et en parler simplement. Je ne sais pas si vous avez fait attention, mais on commence à en parler à la télé, à des heures de grande écoute. Le matin, quand je me lève, j'écoute par exemple la télévision pour écouter les informations. Il y a souvent des chroniqueurs et je vois des personnes de la cybersécurité, du monde des experts de la cybersécurité qui sont là et qui sont interviewés. Alors c'est le matin, mais vous allez avoir lors d'une cyberattaque de grande ampleur, sur le JT du soir, des interviews d'experts qui vont venir et qui vont expliquer quelque chose. Donc on en parle. Je ne vais pas citer la marque. Une marque qui change des pare-brises. Vous savez, dit bien à la fin, il faut taper sur tatatata.fr. Et attention, tapez bien.fr. Vous voyez, c'est une forme de sensibilisation. Donc la cybersécurité est en train de s'emparer du monde et personnel et professionnel et les médias, qu'ils soient télévisés ou comme vous aujourd'hui, ou comme les podcasts, ou comme les miniseries, le travail de Nancy ou d'autres. Le CYF a beaucoup travaillé pour faire des petites choses rigolotes. Ça se démystifie et donc du coup, je pense que les personnes commencent à englober ça.
Etienne E.
Donc il faut vulgariser pour...
Serge Misik
Trans.
Etienne E.
Ok. La menace est maintenant tangible et palpable pour le commun des mortels. Ça aide aussi à faire en sorte que les collaborateurs soient plus impliqués ?
Serge Misik
Oui, complètement. Vous savez, on a nos petites astuces aussi. On a nos campagnes de sensibilisation. qui sont de deux types. On va se faire passer pour un méchant, un cœur, et on va envoyer ces fameux mails de hameçonnage. Alors avant, on les envoyait par gros paquets. Puis on s'est aperçu que ça ne marchait pas parce qu'au bout de deux reçus, les collaborateurs se parlent. Je crois qu'il y a le RSSI qui est en train encore de nous embêter avec ses faux emails. Si tu reçois quelque chose, ne va pas cliquer dessus. Celui-là, il s'appelle Assurance. Ou alors il s'appelle, il vient de la DRH et on te sucre tes congés d'été. Évidemment, ça marche tout le temps très bien. Donc là, on les dilue dans l'année et on fait des groupes que ça passe un peu inaperçu, pour mesurer. Alors, il y a la première chose qui est de voir comment va réagir quand même l'utilisateur. Ce fameux taux de clic, mais ça n'est ni plus ni moins qu'un indicateur pour nous pour savoir vers où il faut porter l'effort. Parce que derrière, ce qui est vraiment intéressant, c'est comment est-ce qu'on va former l'utilisateur. Et aujourd'hui, je suis en plein dedans typiquement puisque je m'intéresse, là j'ai reçu différentes entreprises qui m'ont présenté leurs solutions. Il y en a qui vous proposent encore, hélas, Des gros paquets de modules d'e-learning, vous savez, vous mettez derrière l'écran et vous en avez pour une bonne heure et demie à faire votre e-learning et tant que vous n'avez pas fini, vous ne pouvez pas quitter. Non, on ne fait plus ça aujourd'hui, on fait des vidéos de 4-5 minutes de manière ludique, on fait de l'infographie fixe animée, on utilise tous les médiums possibles, c'est-à-dire l'image, le son, le texte, le quiz pour attirer l'utilisateur et lui faire faire en gros, allez, entre une heure et demie à deux heures de sensibilisation, formation à l'année. C'est quoi une heure de sensibilisation à l'année ? C'est quoi une heure dans une année ? C'est pas grand chose. Avec ça, on est arrivé dans les collectivités à passer d'un taux de clic de 19%, à peu près, selon les contextes, à 2 ou à 6%. Alors attention, un clic est toujours fatal. Ça suffit.
Etienne E.
Oui, mais les probabilités pour que le hacker amoure le mail à la bonne personne, entre guillemets, réduit aussi le risque de pénétration des systèmes.
Serge Misik
Voilà, tout à fait.
Etienne E.
Et se préparer à réduire le risque, ce sont des processus. Et quand on est, et là je parle à nos auditeurs, quand on est une TPE ou une PME, ça peut paraître être un chemin très difficile et complexe. Et c'est justement pour ça que POLD, dont vous faites partie, et Cibia, qui est une initiative qui émane de l'Europe et qui est en partenariat avec le Campus Cyber, tâche de rendre la cybersécurité accessible et ses mesures essentielles de cybersécurité accessible. Est-ce que vous pouvez nous parler de votre contribution à ce projet ? Il me semble que vous y êtes impliqué et que ce projet est d'importance pour vous.
Serge Misik
Pas assez impliqués, mais en tout cas impliqués. On travaille à une implication encore plus importante. Cependant, oui, on travaille avec Cibia. Déjà, pourquoi ? Parce que Paris-Ouest-la-Défense est sur Putot. Le campus cyber, d'après l'ANSI et d'après notre délégué Île-de-France, avec lequel je discute souvent, dit Serge, t'es à 7 minutes et demie du campus cyber. Et l'ANSI a une antenne au 12ème étage. Au campus cyber, j'y suis de temps en temps. Cibia, ils sont au 13ème. Paris-Ouest-La-Défense, on les a accompagnés de différentes manières. Quand ils ont créé le poste de RSSI à Paris-Ouest-La-Défense, ils ont créé finalement l'empreinte cybersécurité. Le DIH Cibia étant dans la cybersécurité, Cibia pour Cyber Security Intelligence Artificielle Hub, d'où Cibia, ils se sont dit, Serge, tu vas nous représenter. En tout cas, le RSSI, aujourd'hui c'est moi, prête le DIH Cibia, donc de ce pôle d'innovation et d'excellence, pour faire monter en maturité la cybersécurité dans le tissu économique des PME, des TPE et des startups. Comment ? Par deux choses. D'abord, on a aidé à recruter un expert en cybersécurité. Donc moi, je les ai aidés à recruter en recevant différents dossiers et en faisant passer des entretiens. Et puis ensuite, aujourd'hui, j'aide cet expert qui est formidable, avec lequel on accroche énormément à construire un catalogue de services basé sur de la technologie ou sur des unités d'œuvre. Quand il faut un pare-feu, on regarde quel type de pare-feu français on va mettre à l'ordre du jour. Qu'est-ce qui fait sens pour une TPE, pour une PME ? Vous ne construisez pas votre feuille de route cybersécurité. Pour une PME, pour une TPE, de la même manière que pour un groupe du CAC 40. Il y a certaines contraintes liées au domaine des petites et moyennes entreprises ou industries qui fait que vous n'arrivez pas avec tout un tas de briques à empiler les unes derrière les autres parce que la PME, elle sera noyée. Donc on les aide, comme ça, moi je leur apporte, ils apportent des noms, on apporte des noms et on construit le catalogue de services technologiques. Et puis également par unité d'œuvre. Qu'est-ce que j'appelle une idée d'oeuvre ? C'est pouvoir avoir des personnes qui vont vous faire une analyse de risque. Ça c'est purement, comme on dit dans notre bon vieux jargon, du jus de cerveau. Alors il faut des compétences derrière, mais c'est pas forcément un outil qui va vous faire l'analyse de risque. C'est un humain qui va passer du temps à interviewer les gens de la PME et en déduire quels sont les 2-3 risques dont la PME, auxquels elle fait face, et qu'il faut qu'elle diminue.
Etienne E.
Oui, on commence toujours par prioriser la première menace et ensuite on avance dans le process et puis on va toucher des risques minimes.
Serge Misik
Exactement. Et aujourd'hui, quand je dis nous essayons de nous réfléchissons à comment les aider davantage, c'est qu'ils sont peu nombreux, Cibia, aujourd'hui et qu'ils ont bien besoin d'aide. Donc en fait, ils s'aident avec des partenaires, des prestataires en cybersécurité qui vont aller voir les bénéficiaires, donc les clients. Donc les PME, les patrons, les gens des PME, les services informatiques s'il y en a, etc. En tout cas, ils vont avoir un certain nombre d'interlocuteurs et d'interviews à faire. Pouvoir avoir mené un questionnaire simplifié et avoir une évaluation de leur maturité de la cybersécurité, on va dire de presque zéro à quelque chose d'intermédiaire, ou de renforcé, ça peut être aussi une belle surprise. d'avoir une PME qui en est déjà à un niveau, on va dire élevé, ça arrive. Aujourd'hui, je pense que les établissements publics territoriaux, elle est là notre réflexion, sont des établissements qui ont un peu plus de monde que les mairies. Polde, ce n'est pas le bon exemple, on est 50. Mais grosso modo, vous prenez un autre établissement, GPSO par exemple, qui est Grand Paris Sud-Ouest, ou GPSEA, Grand Paris Sud-Est Avenir, ils sont beaucoup plus nombreux. Si vous prenez... Le département, le CD92, ou le CD78 ou le CD77, les conseils départementaux, et puis au-dessus la région, il me semble, à mon sens, que ces entités-là ont un rôle à jouer à accorder des ressources humaines et donc du temps, à dégager du temps pour leur personnel qui sont des experts en cybersécurité, parce qu'elles en ont, et leur dire peut-être que si Serge, tu vas voir un client, donc une PME, Tu vas en voir deux dans l'année ou trois dans l'année, et qu'à côté, mon voisin va en voir aussi deux ou trois dans l'année, et que ça s'ajoute, peut-être qu'on va couvrir un peu plus de PME et de PMI sur le territoire de l'Île-de-France. Et peut-être qu'à l'échelle nationale, puisque les EDIH, il n'y a pas que Sibia, on est à peu près une trentaine de DIH en France, un peu moins de 150 en Europe, on va réussir à toucher plus de PME et de PMI comme ça. Il faut vraiment mutualiser.
Etienne E.
Oui, mutualiser les efforts pour au final réussir à toucher. Aujourd'hui, on doit toucher quelques pourcents des TPE, PME. On est, j'ai l'impression, au début d'une démarche, on est au début d'une dynamique pour qu'à terme, pour que dans les 10 ans, etc., tout le monde soit embarqué. dans la cybersécurité et que toutes les entreprises, quelle que soit leur taille, aient mis en place les mesures essentielles.
Serge Misik
Alors, c'est même moins de temps que ça. C'est trois ans. C'est-à-dire que le DIH, il est comme le plan France Relance l'a été il y a quelques temps. Il est là pour vraiment tenter de cranter, c'est-à-dire de faire prendre conscience aux PME et PMI de lancer la machine, si je puis dire. Et ensuite, au bout de trois ans, d'avoir... eu suffisamment de temps pour donner les billes et dresser ce qu'on appelle un schéma directeur ou une feuille de route pour la PME et cranter encore une fois, l'avoir embarqué dans son parcours, dans son aventure cybersécurité qui est encore une fois l'objectif visé, c'est d'être dans un état de sécurité c'est ça la cybersécurité et donc d'ici trois ans, de lui faire prendre conscience que euh... Dans trois ans, le DIH s'arrêtera peut-être, la mission Cibia s'arrêtera peut-être, ou il y aura peut-être une phase 2, on ne sait pas, par la Commission européenne. S'il n'y en a pas, c'est qu'elle soit autonome, la PME. C'est que le tissu économique soit autonome. Vous savez que 99% de notre tissu économique est composé de PME, PMI. Le reste, les 1% qui restent, c'est le CAC 40. Donc aujourd'hui, on a du boulot.
Etienne E.
Une dernière question, parce qu'on arrive presque au terme de cette interview. Quelle est justement cette étape d'après pour une TPE ou une PME, sachant que toutes les TPE et PME ne peuvent pas avoir un DSSI ou un RSSI en interne et donc peuvent se retrouver dans une situation où personne, à part le dirigeant, n'est attaché à la cybersécurité. Quelle serait la solution au final pour qu'il y ait cette solution universelle de cybersécurité ?
Serge Misik
Évidemment, je n'ai pas la réponse exacte. J'espère que la prochaine étape, ce sera déjà de constater que les opportunités qui ont eu lieu via le plan France Relance, celles qui ont eu lieu en ce moment avec le plan France 2030 et l'opportunité donnée par la Commission européenne avec les EDIH, donc les pôles d'excellence et d'innovation dans différents domaines. dont la cybersécurité va permettre vraiment de cranter. Je pense que l'étape d'après, c'est de comprendre comment fonctionnent une PME et une PMI. J'aime bien dire un peu, penser out of the box, vous savez, sortir un peu de la boîte, et se dire, ah oui, la PME, elle ne fonctionne pas comme j'ai l'habitude de faire fonctionner la cybersécurité dans mon grand groupe, ou voilà. C'est de se mettre à leur portée, et d'avoir une myriade, ou en tout cas, des entreprises qui se créent. Quand je dis des entreprises, c'est des entreprises... expertes en cybersécurité et qui développent des catalogues adaptés à une PME ou à une PMI. Vous savez, une PME, c'est pas si compliqué que ça, la cybersécurité dans une PME. Il faut, encore une fois, je vais revenir sur le liste, identifier sa valeur, ses assets, ses actifs. Qu'est-ce qu'il a fait vivre ? Je sais pas, son fichier client, sa position, des brevets. En tout cas, une PME, elle a besoin d'identifier ses actifs. On n'est pas chez un grand groupe. On n'a pas des milliers et des milliers d'actifs. On a quelques-uns. Une collectivité ressemble énormément à une PME, en fait, finalement. Ensuite, on a besoin de la protéger, donc d'adresser le volet protection par deux, trois mesures technologiques. On a besoin de détecter, donc d'adresser le volet détection. Vous avez peut-être entendu parler de ce qu'on appelle les SOC, les Security Operations Center, ces fameux centres de supervision qui monitorent votre activité et essayent de trouver des choses un peu suspensives. paie en récupérant vos... en analysant ce qui se passe sur votre système d'information ou sur vos applications. Elle a besoin d'avoir quelque chose comme ça qui soit managé pour elle. Ça, c'est le volet détection. Elle a besoin à ce qu'on l'aide à mitiger ses vulnérabilités. Et là, je pense que dans la mutualisation, il y a beaucoup à faire parce que vous avez beaucoup de PME qui utilisent les mêmes actifs. Vous allez retrouver, par exemple, l'outil Salesforce à différents endroits, faisant la même chose. Donc, si on arrive... Les PME vont beaucoup dans le cloud maintenant, en mode SaaS. Et donc, du coup, il est facile dès lors de se dire, une fois que j'ai... évaluer les vulnérabilités de tel ou tel logiciel. Si je le corrige pour l'un, je le corrige pour l'autre. Et puis, à la fin, d'adresser sa résilience par des plans de continuité d'activité. C'est-à-dire, moi, qu'est-ce que j'ai pu voir ? Quand je suis arrivé à Pold, j'ai été sollicité pour une petite PME indépendante. On travaille avec eux, pas directement, mais est-ce que ça ne t'ennuie pas de les aider ? Qui venait d'être victime d'une cyberattaque. En mode gros poisson, c'est-à-dire le gros filet jeté à la mer et c'est quelqu'un qui a cliqué. Pas de pot, pas de sauvegarde. Voilà, pas de sauvegarde, 10 ans de travail perdu. Donc aujourd'hui, une PME, si elle prend en considération son travail, qu'elle sauvegarde ses données, qu'elle respecte des règles, ce qu'on appelle du 3-2-1, trois copies sur deux supports différents, dont une externalisée, donc une qui est inaccessible, parce que vos sauvegardes peuvent être également chiffrées. en interne, mais si elle est quelque part ailleurs sur le cloud et qu'elle est recopiée de cloud en cloud français, s'il vous plaît, si possible, en France ou sur des clouds européens, c'est une bonne pratique. Demain, finalement, vous n'avez pas besoin de payer la rançon puisque vous récupérez vos données. Vous n'avez pas besoin de les récupérer. Ce qu'il faut, par contre, c'est les chiffrer.
Etienne E.
Pour éviter le leak, le fameux Krypton leak.
Serge Misik
J'ai crypté. Je m'en moque. Je les aime, mes données. Elles sont sauvegardées. Et leak, vous allez faire fuiter des données chiffrées qui seront illisibles. Oui,
Etienne E.
le risque réputé. En fait, on a écarté d'abord le risque économique et le risque réputationnel dans la deuxième vague.
Serge Misik
Absolument, absolument. Et sur le fameux guide d'hygiène de l'ENSI qui comporte 42 bonnes mesures, finalement, on n'est pas obligé de prendre les 42 pour une PME. Peut-être qu'une dizaine suffit. Et il faut comprendre ça. Ce n'est pas si compliqué. de protéger des PME et des PMI. Ce qu'il faut, c'est aller convaincre et d'avoir le bon catalogue de services. Et c'est ce qu'on essaye de faire avec le DIH. Cibia, c'est de construire un catalogue en adéquation avec les besoins des PME et des PMI et des TPE.
Etienne E.
C'est parfaitement clair. Merci beaucoup Serge. Est-ce que pour terminer cette interview, vous avez envie d'adresser un message aux auditeurs justement en matière d'hygiène, puisque on est tous... Des travailleurs, mais on est tous avant tout des citoyens et des humains. Donc, est-ce que vous avez un message à passer d'hygiène numérique, de cybersécurité ?
Serge Misik
J'ai deux citations que j'aime beaucoup. Je suis quelqu'un qui aime bien lire. La première est d'un auteur américain qui s'appelle Stephen Covey. Elle est en anglais, mais vous la comprendrez facilement. C'est To know and not to do is really not to know Donc, connaître mais ne pas faire et vraiment ne pas connaître. La menace. Mais est-ce que... Vous voyez le sens ? Donc en fait, il faut s'approprier. Il ne faut pas se masquer. Vous savez, on parle souvent du black swan. Mais il y a dans la ménagerie des animaux à risque, il y a également le black elephant. Je ne sais pas si vous connaissez.
Etienne E.
Absolument pas.
Serge Misik
Il y en a quatre. On reviendra en saison 2.
Etienne E.
Avec grand plaisir.
Serge Misik
Si vous le souhaitez, pour parler de la ménagerie des animaux à risque. Mais le black elephant est l'éléphant qui est au milieu de la pièce. Dont on... connaît, on sait ce que ça va produire, on connaît la conséquence et on connaît l'impact. Mais on l'ignore, on a décidé de l'ignorer. Bon bah je vous dis pas ce qui peut arriver par la suite quoi. Voilà. Donc cette citation est là pour se rappeler que les Black Swan ça arrive, c'est-à-dire l'inconnu on savait pas et on connaissait pas l'impact, c'est ça un Black Swan ? Je vous expliquerai les deux autres, qui est le Jelly, le Black Jellyfish et le Grey Rhino une autre fois. Mais voilà, c'est en tout cas... être bien conscient que la menace est là et qu'elle ne va pas s'arrêter. Et la deuxième citation que j'aime beaucoup, c'est évidemment celle qui est très connue, elle est du philosophe chinois Lao Tzu. A journey of a thousand miles begins with a single step. Donc, pour dire que la cybersécurité, c'est vraiment un voyage qui commence un jour et qui s'adresse pas à pas. Il faut penser global, mais il faut agir local.
Etienne E.
Merveilleux. Merci pour votre disponibilité et tous ces précieux conseils.
Serge Misik
Merci à vous.
Etienne E.
A bientôt.
Serge Misik
A bientôt.
Etienne E.
Serge Mizik nous le rappelle, la menace est bien réelle et ses conséquences déjà bien connues. Quel que soit votre métier, il est indispensable de vous préparer à une attaque, car tôt ou tard, tout le monde finit par être pris dans les filets des cybercriminels. Si vous êtes une collectivité d'Île-de-France, à la tête d'une entreprise ou un acteur de l'économie sociale et solidaire, rendez-vous sur notre site sybih.eu. En attendant, n'hésitez pas à vous abonner à ce podcast sur votre plateforme d'écoute préférée. à commenter, noter ce podcast. Vos retours nous sont précieux. Également, nous suivre sur LinkedIn at Sybia, C-Y-B-I-A-H. À très vite.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

À propos de Serge Misik

Toujours dans l’action, Serge Misik continue de faire de la cybersécurité un levier essentiel pour bâtir des environnements numériques plus sûrs et résilients.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Serge Misik
Ce qui fait la particularité d'une attaque d'origine cyber, c'est qu'elle est fulgurante. Vous ne construisez pas votre feuille de route cybersécurité pour une PME ou pour une TPE de la même manière que pour un groupe du CAC 40.
Etienne E.
Bienvenue dans ce troisième épisode de Safe & Sound. Aujourd'hui, nous avons rencontré Serge Mizik, responsable de la sécurité des systèmes d'information de Paris-Ouest-la-Défense, un territoire regroupant 11 communes de l'Ouest parisien et coproducteur de ce podcast. Passionné de cybersécurité, il nous dévoile les clés pour comprendre les vulnérabilités et les enjeux cyber. Alors installez-vous et laissez-vous guider par cet expert. Vous écoutez Safe & Sound, le nouveau podcast dédié à la cybersécurité de Cibia, un programme coordonné par le Campus Cyber, cofinancé par la région Île-de-France et l'Union européenne. Il offre un accompagnement en sécurité numérique entièrement pris en charge pour les entreprises les acteurs de l'économie sociale et solidaire, ainsi que les collectivités franciliennes. Pour renforcer la sécurité de vos systèmes et bénéficier de cet accompagnement personnalisé, rendez-vous sur sybia.eu. Ce podcast est produit en partenariat avec le catalyseur de l'innovation et de l'entrepreneuriat de Paris-Ouest La Défense. Cet épisode est réalisé par l'Agence JEF. Bonjour Serge.
Serge Misik
Bonjour.
Etienne E.
Merci beaucoup de vous rendre disponible pour cette interview.
Serge Misik
Avec plaisir.
Etienne E.
Pour commencer, pouvez-vous vous présenter auprès de nos auditeurs ?
Serge Misik
Oui, absolument. Je m'appelle Serge, Serge Mizik. Je suis RSSI. C'est un grand acronyme pour dire que je suis responsable de la sécurité des systèmes d'information. En fait, qu'est-ce que je fais ? Je m'occupe de la sécurité de tout le patrimoine informationnel. Toutes les données, grosso modo, toute la protection, tout ce qui a de la valeur pour Paris Ouest, la Défense. Voilà, auparavant j'étais chez Systra où j'étais également RSSI et où on en parlait juste un petit peu avant j'ai fait évoluer la fonction vers ce métier de ciseaux finalement qui a une vraie différence entre un RSSI et un ciseaux plus la partie business dans ciseaux et création de valeur alors que RSSI reste un peu plus technique mais ça évolue en France et encore auparavant j'étais à l'AFP où on va dire je suis resté longtemps à l'école, à l'AFP, parce que j'y ai passé 20 ans. Donc en passant par différents métiers, mon background de base c'est ingénieur réseau et télécom et j'ai forgé ma carrière pour devenir RSSI parce que dès lors que j'ai rencontré un de mes mentors, je me suis dit c'est ça que je veux faire.
Etienne E.
Justement, comment on devient RSSI ? Comment on attrape le virus, entre guillemets, de la sécurité informatique ? Quelles sont ses motivations et comment on construit son parcours pour devenir RSSI ?
Serge Misik
Je ne pense pas qu'il y ait aujourd'hui un parcours, il n'y a pas de parcours tout tracé pour devenir RSSI. Je vais répondre à la première question, comment est-ce qu'on attrape le virus ou comment est-ce que moi j'ai attrapé le virus ? Je vais vous le dire dans les termes tels que me l'a dit un jour mon mentor qui travaille aujourd'hui chez Airbus, puisqu'il est le numéro 3 de la sécurité chez Airbus. Il est resté mon mentor, il était à l'AFP auparavant. Il m'a dit aujourd'hui Serge, puisque tu viens d'arriver, tu es le petit nouveau, tu vas travailler avec moi et nous allons burner les IGX. Wow, j'ai dit qu'est-ce que c'est que ce truc là ? Qu'est-ce que c'est que ce langage ? Il me dit on va simplement mettre à niveau un gros équipement de sécurité de télécommunication. Et en fait, il faut le faire de manière pragmatique. Il faut le faire en suivant un mode d'emploi parce que sinon, il peut y avoir une rupture. de communication, une indisponibilité et c'est là que j'ai commencé à mettre mon pied dans la sécurité puisque la disponibilité est un des critères de sécurité. Je me suis dit c'est ce truc là que je veux faire mais ça a été le premier déclencheur. Le deuxième déclencheur, c'est que c'est réellement en fait un parcours où il faut aimer l'humain. Il faut aimer l'humain parce que nous sommes entourés de technologies. Mais d'humain, et moi, je suis passionné par l'humain. Donc, avec ces deux critères, je crois qu'on m'a donné le virus et il ne m'a jamais quitté. Je n'ai jamais porté de masque pour ça, en tout cas.
Etienne E.
Vous avez parlé d'humain. La collaboration est au cœur, j'ai l'impression, de votre métier. D'après vos premiers mots, à quoi ressemble votre quotidien ? À quoi ressemble votre collaboration, que ce soit avec vos collaborateurs dans le service de la sécurité informatique, comme avec les agents de Paris Ouest La Défense ?
Serge Misik
Alors aujourd'hui, je suis un RSSI qu'on appelle mutualisé. ou partagé, qu'est-ce que ça veut dire ? Ça veut dire que Paris-Ouest, la Défense, a eu l'idée il y a un an et demi, deux ans, de créer en fait cette fonction de mutualisation en se disant les RSSI sont des profils rares, les RSSI on va dire un peu seniors, comme moi, avec, j'attaque mes 25 ans d'expérience maintenant, alors pas en tant que RSSI mais dans le monde de la cyber. Donc j'en apprends tous les jours, mais cependant, voilà, j'ai quelques acquis, quelques heures de vol, comme on dit. Ils se sont dit, puisque les RSSI, les profils sont rares et qu'on a du mal à recruter, on va mutualiser. Et donc en fait, Paris-Ouest-La-Défense, c'est un établissement public territorial qui regroupe différentes mairies, 11 pour être précis. Elles se sont dit, plutôt que d'avoir 11 RSSI, on va en prendre un et qu'on va partager. Donc en fait, mon quotidien... Il est de me balader de mairie en mairie et d'être le RSSI de 11 mairies plus l'EPT, l'établissement public territorial Paris-Ouest-La-Défense, donc 12 contextes, et en fait de les accompagner sur ce que j'appelle, j'aime bien appeler communément le volet des 3P. Pourquoi 3P ? Le premier pour people, les gens, le deuxième pour product, de la technologie, ce qu'il en faut. Et le troisième pour process, parce qu'il faut un peu processer tout ça. Donc en fait, je me balade et le but étant d'élever le niveau de maturité de ces collectivités, déjà de savoir à quel niveau elles en sont, et de savoir constamment quel sera le next step. Et de l'élever petit à petit et de rentrer dans une démarche d'amélioration continue, donc d'être bon élève on va dire, et de diminuer les impacts de cyberattaques, mais pas que. parce que les attaques peuvent venir de l'externe, mais également de l'interne.
Etienne E.
Il y a une différence entre RSSI chez Systra ou à l'AFP, par exemple, et dans une collectivité territoriale ou dans une mairie. Est-ce que le travail est le même ou il est foncièrement différent ?
Serge Misik
La base du travail d'un RSSI est globalement toujours la même. On travaille sur ce fameux triptyque qui est disponibilité, intégrité, confidentialité. Épreuve, un quatrième, c'est-à-dire la traçabilité. Cependant, on l'adapte à notre environnement. Je crois que la majeure, les grandes différences que je note dans une collectivité publique, ou en tout cas dans le secteur public, et dans un établissement comme Paris-Ouest-La-Défense, mais également les mairies dans lesquelles je vais, premièrement, c'est le budget. Je gérais quelques millions par le passé, je gère quelques centaines de cas maintenant. Donc on ne fait pas... Je ne peux plus me payer une Porsche, je peux me payer une Volkswagen.
Etienne E.
C'est peut-être tout aussi fiable.
Serge Misik
On ne fait pas tout à fait la même chose. En tout cas, ça c'est la principale différence. La seconde différence sont les ressources humaines. On a moins de personnes. Par le passé, j'ai eu une équipe avec des personnes seniors que j'encadrais et on travaillait tous en équipe au sein de la structure ou du pôle cybersécurité. Là, pour l'instant, je suis mutualisé, mais je suis mutualisé tout seul, à moi tout seul. Il est prévu de recruter, mais pour l'instant, c'est un peu en stand-by. On verra sur 2025, parce que je renforce le pilier technologique, comme je vous le disais, les 3P. Le volet people va venir. Le troisième élément différenciateur, c'est que dans le secteur privé, vous savez, il y a ces fameux COMEX, ces comités exécutifs. où vous avez les patrons, la direction générale, et où moi, par le passé, j'étais pas membre, mais invité. Aujourd'hui, je suis pas dans les codires, je suis pas dans les comités de DGS, qui sont les directeurs généraux des services, c'est-à-dire des personnes qui répondent directement aux maires dans les mairies. Et donc, du coup, le volet humain lié au top management est manquant. est un maillon manquant, mais on y arrive, on commence à y venir. Je pense que je les bassine avec la cybersécurité et donc je vais les voir de manière non anxiogène. Donc du coup, il m'invite maintenant pour me dire Serge, tu as plein d'idées, tu en as une à la minute, il va falloir se calmer un petit peu, mais du coup, je les embarque avec ma passion. Ça se sent que je suis passionné, je pense.
Etienne E.
Vous sentez une prise de conscience au niveau de la cybersécurité ces derniers mois, voire ces dernières années, avec justement une augmentation palpable de la menace ?
Serge Misik
La menace, elle augmente constamment. Je crois qu'on est passé d'une menace typiquement de ransomware, elle a évolué je crois en 2023. Alors les ransomware sont ces fameux spyware logiciels qui chiffrent vos données, puis après on vous demande une rançon. En 2023, il y a eu une augmentation de près de 50%. Donc ça évolue constamment. Oui, je sens une prise de conscience. Je ne saurais pas forcément l'expliquer. Je pense qu'il y a eu beaucoup de volonté de la part de la France, de la part de l'Europe, de la part des pays comme Israël, qui sont très bons en cybersécurité. Il y a un enjeu démographique derrière, il y a un enjeu stratégique pour des pays comme les États-Unis, comme Israël, comme d'autres. Et l'Europe a son mot à dire. Donc du coup... Je pense que pour ne pas rester à la traîne, puisque les méchants ont toujours une longueur d'avance, ils n'ont que ça à faire, ils n'ont qu'à attaquer. Nous, il faut qu'on se défende et de plus en plus, on assiste à un changement de paradigme qui est d'avoir une posture offensive. On va essayer d'analyser la menace, c'est-à-dire qu'on mêle un peu, ça devient de moins en moins, c'est toujours technique. Cependant, on va trouver du... profiling c'est à dire comprendre la personne menaçante comprendre pourquoi est ce qu'elle agit pourquoi est ce qu'elle m'en veut c'est ce qu'on appelle la street intelligence passe à cela comme comme l'intelligence artificielle arrive il est clair qu'aujourd'hui on n'a pas d'autre choix que de renforcer nos postures et de moins en moins je vois les entreprises en tout cas des collectivités attendre de se prendre quelque chose qui fait mal et rentrent la cybersécurité dans leur stratégie à l'échelle globale.
Etienne E.
Est-ce que la menace qui pèse sur les collectivités est la même que celle qui pèse sur les entreprises ? Vous parliez des ransomware qui touchent beaucoup les entreprises parce que la data a une valeur considérable, c'est l'or des entreprises. Est-ce que c'est la même menace pour les collectivités ou elle est différente ? Vous parliez aussi de profiling. Est-ce que les personnes qui attaquent les collectivités sont différentes, animées par d'autres vindications, d'autres motivations ?
Serge Misik
Alors on a toujours face à nous des personnes qui sont malveillantes. Et dans le domaine d'où je viens et dans les collectivités où je suis aujourd'hui, ce qui prime c'est la cybercriminalité. Il y a quatre types de menaces. Il y a la cybercriminalité, donc là c'est typiquement la pas du gain. Vous avez la déstabilisation, donc on l'a vu grandement avec le contexte géopolitique entre l'Ukraine et la Russie, et ce qui se passe en ce moment avec l'Europe. Mais pas que, puisque la déstabilisation est une menace qui peut affecter les collectivités, je pourrais revenir dessus par la suite. Vous avez le sabotage, et puis vous avez l'espionnage. Voilà les quatre grands types. L'espionnage, on va plus le retrouver... à l'échelle des États ou à l'échelle dans les domaines industriels.
Etienne E.
Les fameuses industries vitales.
Serge Misik
Là où on manipule du secret, de la prod, de la... Voilà. Dans les collectivités, vous parliez de data et d'or. On l'a aussi. On l'a aussi. Pourquoi ? Parce qu'on manipule des données des citoyens. Des données qui valent extrêmement cher. Des données qui, sur le Darknet, se vendent très cher. Les collectivités manipulent des cartes nationales d'identité. Manipulent des empreintes biométriques quand vous faites votre passeport, manipulent des passeports, manipulent des données de santé, manipulent des déclarations d'imposition pour calculer les quotients familiaux, pour avoir droit à des aides ou pas. Et donc en fait, toutes ces données-là sont extrêmement importantes et attirent les cybercriminels qui vont vouloir s'en emparer pour les revendre à prix d'or justement ou en faire des faux et les revendre également sur le Darknet.
Etienne E.
Ok, donc en fait, ils utilisent les mêmes techniques que lorsqu'ils attaquent une entreprise privée. Ils viennent bloquer et chiffrer les données de l'entreprise pour essayer ensuite de tirer une rançon, pour ne pas les diffuser, voire pour les rendre à la collectivité.
Serge Misik
Complètement. On est globalement sur les collectivités. Le risque, cette fois, on parlait de menace tout à l'heure, là je parlais de risque opérationnel. Donc technique, ce que je vois, c'est clairement... Ce qu'on appelle l'usurpation d'identité, l'ANSI en classe 9, 9 risques. Il y en a deux qu'on peut séparer. Il y a le phishing, vous savez ce fameux hameçonnage qui vise à vous envoyer un faux quelque chose, un faux SMS, un faux email. Alors évidemment majoritairement ça va être un faux email qui va usurper votre service informatique, se faire passer pour votre service informatique. Il faut mettre quelque chose à jour et cliquer là. Le fameux cliquer là ou ouvrir une pièce jointe. C'est comme ça que le malware, en tout cas le virus, rentre dans le système d'information et fait quelque chose, agit. en provoquant des dommages, ou effectivement, le rançon JCL, donc le ransomware, qui chiffre les données et ensuite, pour pouvoir vous les déchiffrer, vous demande une rançon, ce qui aujourd'hui, évidemment, ne vaut plus du tout la peine. Je lisais dernièrement un article, encore une fois, ce qu'on appelle le crypt and leak, c'est-à-dire le je crypte ou je chiffre, puisqu'on ne dit pas crypter, mais on dit je chiffre. Et je leake, donc je fais fuiter. C'est-à-dire qu'aujourd'hui, il y a l'effet qui se coule, je vous ai chiffré vos données, et le double effet qui se coule, vous avez payé la rançon, mais je les ai quand même diffusées sur le Darknet ou sur Internet.
Etienne E.
Oui, il passait dans les conditions générales, il y avait marqué que c'était juste pour les récupérer, en fait, la rançon. Oui,
Serge Misik
voilà, dans les conditions générales de vente, avec le petit astérix en bas, où il y a marqué surtout ne pas croire. Exactement. Il n'y avait pas marqué que finalement, après avoir payé la rançon en Bitcoin à quelques millions, nous allions quand même les... les divulguer sur internet, vous causant des dommages.
Etienne E.
Vous sentez une recrudescence des attaques, vous, ces derniers temps ?
Serge Misik
On sent que les attaques augmentent, on sent surtout qu'elles se complexifient. L'intelligence artificielle arrive, elle est même là. Le machine learning, l'intelligence artificielle, légère on va appeler, on va pas lourde, c'est quand on a une intelligence qui est capable de réagir avec une émotion. ou forte, comme on dit, mais l'intelligence artificielle faible qui est capable d'auto-apprendre, on l'a vu avec les fameux Ausha de JPT, on reste sur un jeu du chat et de la souris, c'est-à-dire les hackers bénéficient de plus en plus d'outils très sophistiqués et pour le mortel qui n'est pas expert en cybersécurité, déjà pour les experts ça devient compliqué, pour ceux qui ne sont pas experts ça devient... extrêmement compliqué de différencier le frais du faux. C'est comme les fake news ou les deepfakes maintenant. On voit bien ce que la technologie est capable de faire. Là où par le passé, on avait majoritairement des groupes, ces fameux groupes APT, vous savez, APT27, APT28, la sophistication était humaine. C'est-à-dire qu'il y avait un cerveau humain derrière. Là, il y a toujours de l'humain derrière, parce que les cybercriminels sont... Hyper bien organisé, c'est des véritables PME sur le Darknet. Vous savez que vous pouvez vous faire embaucher, vous allez avoir un salaire x10, x12, x20, illégal évidemment. Et puis vous courez un risque de vous faire attraper et de passer quelques belles années derrière des barreaux. Cela dit, il y a de plus en plus les machines qui aident maintenant les hackers et ce qu'on appelle les bots, les robots. Vous avez des machines qui vous attaquent avec un niveau de sophistication assez important.
Etienne E.
D'accord, l'intelligence artificielle, il y a le côté deepfake, etc. Mais il y a aussi un côté, ça permet de complexifier l'attaque, de faciliter certaines tâches, c'est ça ? Ça permet d'accélérer sur le déploiement de l'attaque ?
Serge Misik
Oui, ça permet de faire beaucoup de choses. Ce qu'on appelle une fameuse kill chain, c'est-à-dire la chaîne d'attaque en cet état, du moment où on va faire une phase de reconnaissance. Je vais me renseigner un petit peu sur l'entreprise que j'ai comme cible. Je vais amasser de l'information. Puis ensuite, je vais construire ma menace et je vais livrer ma menace, ce qu'on appelle la charge, qui contient la bombe, finalement, qui va exploser dans votre entreprise ou dans votre collectivité. Alors, qui va exploser en faisant du bruit ou en faisant pas de bruit ? Je ne sais pas si vous vous souvenez de l'attaque de TV5Monde. dont la menace avait été présente pendant très longtemps dans le système d'information, sans que personne ne s'en aperçoive. Aujourd'hui, je crois qu'on est sur à peu près une cent cinquantaine de jours en menace présente sur un système d'information sans qu'elle soit détectée. Attention, j'essaye de ne pas faire peur. Aujourd'hui, heureusement, on a des outils qui détectent pas mal de choses. Mais vraiment, si l'attaquant vous a ciblé, c'est comme celui qui veut vous cambrioler aujourd'hui. Vous avez beau avoir un système d'alarme, Vous avez beau avoir trois Dobermans, deux tourelles avec des gardes armés, il rentrera.
Etienne E.
Ça ne fera que le ralentir ou lui rendre la tâche un peu plus complète.
Serge Misik
Absolument.
Etienne E.
Mais effectivement, cette information, justement, le commissaire Fabrice Billot de la BL2C, donc la brigade de lutte contre la cybercriminalité, nous a sensibilisés à ce point qui est maintenant les attaquants peuvent rester des mois dans un système d'information, collecter, regarder en fait jusqu'à où ils peuvent pousser les ramifications. Avant de rendre l'attaque visible pour maximiser le gain qu'ils font derrière.
Serge Misik
Tout à fait. Ce qui s'est produit, c'est que le cybercriminel, c'est de la criminalité pure. Donc, c'est l'appât du gain. Donc, par le passé, moi, j'ai connu des attaques. J'en ai vécu deux, des cyberattaques. Pas de grande ampleur. Mais oui, il a fallu payer en bitcoin à l'époque où le bitcoin était à 300 dollars. J'aurais dû investir à ce moment-là. J'ai été bête. Mais bon,
Etienne E.
il fallait en garder un pour vous au moment de la réception.
Serge Misik
Qu'est-ce que faisaient ces fameux hackers ? Ils envoyaient plein d'attaques et récoltaient des petites sommes. Ces petites sommes accumulées faisaient qu'à la fin, ils avaient une somme qui se chiffrait à quelques zéros. Aujourd'hui, ils vont analyser beaucoup plus leur contexte, la menace, et créer une menace dont on ne pourra pas se parer. Il faut être conscient. Aujourd'hui, quand on a décidé de vous attaquer et d'être la cible, c'est extrêmement compliqué. Vous pouvez réduire les conséquences et les impacts, mais l'empêcher...
Etienne E.
C'est assez intéressant, vous avez subi deux attaques apparemment de faible ampleur. Ça éveille forcément ma curiosité. Comment on réagit quand il y a une cyberattaque et comment on fait pour préserver au maximum l'intégrité de la donnée, l'intégrité des systèmes d'information ? Qu'en tenir au maximum comme un bateau qui a une voie d'eau pour éviter le naufrage ?
Serge Misik
Ce qu'il faut savoir, c'est que comme on réagit, on réagit comme on peut. Tout d'abord, parce que la première fois, on n'est jamais préparé, mais je crois qu'on n'est jamais de toute manière préparé. On a beau faire des exercices, s'entraîner, etc. Ce qui fait la particularité d'une attaque d'origine cyber, c'est qu'elle est fulgurante. Tout d'un coup, ça commence souvent par un appel, et puis deux, et puis trois, et puis selon la taille de votre entreprise, mille ou dix mille. Je veux dire, il se passe... Donc là, vous savez forcément qu'il se passe quelque chose de louche ce matin-là, ou cette nuit-là, ou ce week-end-là. Parce qu'évidemment, ça n'arrive pas à 10h30 du matin, quand vous êtes concentré avec toutes vos équipes de présent.
Etienne E.
Oui, comme les attaques militaires, on les fait toujours au moment où le défenseur est le plus vulnérable.
Serge Misik
Exactement. Mais grosso modo, les premières, ce qu'on appelle les emergency measures, donc les mesures d'urgence qu'on met en place, sont des mesures très simples et très logiques. Déconnecter un PC, ne pas l'éteindre parce que sinon on perd ce qu'il avait en mémoire, on perd la preuve de l'attaque. Quand on va aller déposer plainte, il faut qu'on ait des preuves. Donc déconnecter un réseau, isoler des bouts de réseau. Donc on avance petit à pas et imaginez une autoroute ou une petite route de campagne. Et puis vous avez un accident sur cette route de campagne. Et puis cet accident a des conséquences sur la départementale qui est juste à côté. Mais ça a aussi un incident sur la nationale qui n'est pas très loin. Et puis ça a un autre incident ou une autre conséquence sur l'autoroute finalement A7 qui est à côté. Qu'est-ce que vous allez faire ? Vous allez décider, vous les forces de l'ordre, accompagné d'autres, de fermer tous ces tronçons. Nous c'est pareil. On ferme de manière à endiguer l'attaque à la... concentrée au maximum là où elle est. Je rappelle qu'en 2019, l'attaque de Bouygues Construction au Canada, suite à un ransomware, donc à ce fameux rançon JCL, a été présente sur ses serveurs de Vancouver, je crois, à un certain temps. Huit heures après, elle était présente au siège à Aylancourt, donc à côté de Versailles. Je vous le dis, c'est fulgurant.
Etienne E.
C'est très binaire en fait, soit tout va bien, soit tout s'effondre.
Serge Misik
Exactement, c'est tout d'un coup tout était au vert et tout d'un coup tout devient en rouge. Quand vous arrivez à voir le rouge ? Parce que par moment, les hackers masquent le fait qu'ils arrivent à prendre le contrôle. Ça c'est vrai par exemple dans l'industrie, ils prennent le contrôle des systèmes qui surveillent tout le système industriel, comme par exemple l'attaque de la centrale nucléaire en Iran, vous savez, où en fait... Les gens qui étaient derrière les panneaux voyaient tout au vert. Tout va bien. Mais en fait, derrière, la centrale augmentait d'un demi-degré toutes les 24 heures, je crois.
Etienne E.
Ce n'était pas justement, vous parliez de risque de l'attente, les clés USB qui s'étaient baladées jusqu'à arriver dans la centrale nucléaire ?
Serge Misik
Alors si, on a su un petit peu le fameau de l'histoire. Ils s'en sont pris au patron. Quand je dis ils, c'est les Russes. Si je me souviens bien, ils s'en sont pris au directeur de ce système industriel qui gérait directement la centrale. Il devait faire une mise à jour d'un équipement industriel. Et en fait, tous les soirs, il rentrait avec une clé USB qu'il mettait chez lui. Et finalement, ils ont réussi, par un biais décalé, quand on dit qu'il faut faire attention aux réseaux sociaux, à se dire... On ne va pas l'attaquer lui directement parce qu'il est assez bien sensibilisé. On va attaquer sa femme. On va poursuivre sa femme en ingénierie sociale. Vous savez, étudier justement le mode opératoire de sa femme. Comment est-ce qu'elle passe ses journées ? Qu'est-ce qu'elle fait ? Etc. Et ils ont piégé sa femme. Et elle est rentrée avec une clé USB qu'elle avait trouvée quelque part qui contenait un virus. Elle l'a posée à la maison. Et lui, le matin, exactement le même modèle, je crois qu'il a pris la clé qui contenait ce virus. Et le lendemain, il a voulu faire sa mise à jour. La mise à jour, je ne crois pas qu'elle ait marché.
Etienne E.
La parfaite illustration de comment une attaque peut être sophistiquée et la vigilance que ça requiert pour s'en prémunir. Et justement, quand on gère la cybersécurité d'un établissement public territorial et de 11 communes, et pas des moindres, on parle de communes comme Bourbevoie plutôt, puisqu'on enregistre ici à la Défense, mais il y a aussi des villes comme Saint-Cloud. de Nuit-sur-Seine, Levalois, etc. On ne va pas toutes les citer, mais en tout cas, on a des villes importantes avec un tissu économique très dense, beaucoup de population. Comment, au final, on arrive à préparer les villes, les systèmes d'information et à en assurer la résilience, surtout quand on est, au final, tout seul pour un territoire énorme en termes de population et en termes de PIB ?
Serge Misik
La première chose quand je suis arrivé, c'est que j'ai eu la chance d'avoir, comme on dit, un terreau fertile. C'est-à-dire que j'ai des collègues DSI. Vous avez rencontré ma DSI tout à l'heure. Donc j'ai des DSI, des directeurs ou des directrices des systèmes d'information, puisque je suis rattaché aux systèmes d'information, qui sont très portés sur l'aspect cybersécurité. Qu'est-ce qui a fait ça ? Je ne sais pas. L'appétence. En tout cas, il y a une appétence assez importante pour pouvoir gravir les échelons, step by step, pas par pas, pour arriver à une maturité, on va dire, plus élevée, plus évoluée. Et c'est peu dire parce que dans les collectivités, on part de bas, on part vraiment de très bas. Mais il y avait déjà des choses en place. Je vous parlais des 3 P tout à l'heure, qu'est-ce qu'on met en place en premier ? Qu'est-ce que j'ai mis en place en premier ? De la technologie. On met en place des technologies et qu'est-ce qu'on met en place ? On met en place des technologies de protection. J'ai commencé par mettre des technologies de protection. Je me suis basé sur un cadre que j'aime bien, qui est le cadre du NIST, qui est un framework américain, un cadre de travail américain. le NIS pour National Information Institute and Technology. Il parle de cinq piliers, l'identification, la protection, la détection, la réponse à un incident et ce que j'appelle moi, ce qu'il appelle recover en anglais, moi j'appelle ça la résilience ou la cyber résilience, comme on a tendance à l'appeler aujourd'hui. Et on travaille sur ces cinq piliers indifféremment. Alors le nouveau framework V2 a introduit la gouvernance, c'est-à-dire gouverner, piloter, driver. Mais je la sors un peu à part, parce que j'ai une vision différente de la gouvernance vue du risque. Mais en tout cas, j'ai travaillé sur la partie briques technologiques et encadrement par des processus. Donc en fait, je leur ai dit par priorité, vous n'avez pas ça, vous n'avez pas ça, il vous manque ci, il faut qu'on travaille pour les mettre. Et ce faisant, on a réussi à diminuer les risques. Évidemment, il reste encore énormément de travail, mais en tout cas, on fait ce qu'on peut pour vraiment... minimiser les risques. Vous savez, il y a souvent cette phrase de dire si je vais être attaqué et on ne dit plus si je vais être attaqué mais quand je vais être attaqué Et moi, je vais au-delà de cette phrase, puisqu'on connaît, on a éliminé la probabilité et qu'on est sûr qu'on va se faire attaquer, le temps est là, j'ai éliminé le temps, puisque je pars du principe qu'on va se faire attaquer, et donc du coup, maintenant, on travaille sur la réduction des impacts et des conséquences.
Etienne E.
Comment on fait ? On segmente, on cloisonne un maximum les différents systèmes d'information, ou du moins les différentes branches ?
Serge Misik
Déjà, on segmente le réseau et on filtre dans le réseau, où on met des briques qui font ça. Déjà, on essaye d'empêcher la personne malveillante de pénétrer, de taper à la porte et d'avoir une porte ouverte et de rentrer. Ça, ça s'appelle gérer les vulnérabilités et les corriger. Je pense que c'est responsable de 80%... Des attaques, aujourd'hui, si tout le monde adressait une bonne gestion des vulnérabilités, ce serait déjà un petit peu plus compliqué. Mais une fois qu'on est rentré, on va éviter de se balader à droite et à gauche, ce qu'on appelle les mouvements latéraux. Et pour ce faire, on va donner le moins de droits possibles à un utilisateur. Moi je suis RSSI, mais mon PC a des droits lambda. C'est-à-dire que je ne suis pas administrateur de mon PC. Euh... Est-ce qu'il veut dire que si on en prend le contrôle... Je ne peux pas faire grand chose avec. Je n'ai même pas des droits pour me connecter sur des applications. J'ai des collègues qui le font, qui ont ces droits-là, évidemment, avec lesquels je travaille dans les DSI. Mais moi non, pourquoi ? Parce que les RSSI sont des personnes ciblées, aussi bien que les personnes des ressources humaines, qu'aussi bien que les personnes des finances, les directeurs financiers ou directrices financières, les directeurs généraux des services. Ce sont des personnes, ce qu'on appelle nous dans notre jargon, et même ce n'est pas un jargon, mais les VIP, les Very Important People. On a tendance aujourd'hui à les appeler aussi les very attacked people les VAP, donc les gens véritablement ciblés. Donc on va définir qui doit avoir un minimum de droits et qui doit en avoir un peu plus. Et ensuite, on va jouer sur ces droits. Dans ceux qui doivent en avoir un peu plus, on va dire ok, une fois qu'on a mis ce qu'on appelle le moindre privilège en action, de least privilege, on va mettre ce qu'on appelle le need to know en action, le droit d'en connaître. C'est-à-dire que pour faire mon travail, moi, j'ai peut-être pas besoin... de connaître ou de savoir, d'avoir telle ou telle information. Donc je vais restreindre l'accès à l'information qui m'est utile dans mon travail au quotidien. Et c'est ce qu'on fait dans les collectivités, on réduit ses droits en travaillant sur la gestion des identités et des accès. Il est important de filtrer au plus fin possible et de faire une revue et de corriger constamment et d'affiner. Vous avez beaucoup de mobilité dans les collectivités, vous avez des agents de la fonction publique, qui un jour étaient au pôle du traitement des eaux ou des déchets et puis qui le lendemain se retrouvent parce qu'ils l'ont souhaité et ont eu une formation à travailler pour le développement durable ou alors pour le système d'information géographique. On s'assure que les droits qu'ils avaient auparavant leur sont retirés parce qu'il n'est plus nécessaire qu'ils les aient pour leur travail de tous les jours.
Etienne E.
Et justement, vous avez parlé des briques technologiques comme première étape pour sécuriser. Maintenant, on parle de l'humain à travers cette gestion des accès. Comment on embarque les agents et on les sensibilise au-delà de cette question d'accès qui est peut-être plus back-office, qui est peut-être une gestion, une vision que vous, vous avez en tant qu'ARSSI, mais comment on embarque les agents à être sensibilisés à la sécurité informatique, à ne pas cliquer sur n'importe quoi, à ne pas télécharger une application parce que plus rapide pour décompresser un fichier PDF. Comment on arrive à... à faire en sorte que tout le monde ait cette hygiène numérique qui est indispensable au sein d'une collectivité comme d'une entreprise.
Serge Misik
Alors il y a différentes méthodes pour sensibiliser les personnes. C'est comme dans toute gestion du changement, vous allez avoir des personnes qui vont avoir un mindset, donc un état d'esprit très ouvert et vous allez avoir des récalcitrants, vous allez avoir des gens qui vont avoir peur parce que ça fait très peur. On ne sait pas ce que c'est vraiment que la cybersécurité, c'est une nébuleuse, c'est très IT. On apparente souvent ça derrière à des gens qui sont des geeks, vous savez le fameux hacker en capuche, avec son sweat à capuche, c'est complètement faux cela maintenant évidemment, on n'a plus du tout cela. J'apporte cette sensibilisation par expliquer très simplement et très clairement, donc en vulgarisant et en faisant des parallèles avec leur vie privée régulièrement. Vous êtes spammés tous les jours, c'est-à-dire on vous embête. tous les jours vous recevez vous vous souvenez de cette mode de cette phase où on recevait constamment des sms sur le compte professionnel de la formation le cpf donc aujourd'hui les utilisateurs ils ont cette chance ou cette malchance en tout cas c'est une opportunité pour nous et on l'utilise de recevoir dans la vraie vie ce qu'ils peuvent recevoir en milieu entreprise en milieu professionnel donc du coup ça leur parle aujourd'hui dans votre banque vous avez un compte bancaire on vous ôte on vous oblige votre banque vous oblige de vous double authentifier. Vous avez votre compte, votre numéro de compte qui est votre identifiant ou autre chose. Vous avez un mot de passe qui aujourd'hui se complexifie, 12, 13, 15 caractères avec des majuscules, des minuscules, des points d'exclamation, enfin en tout cas des caractères spéciaux, etc. Et si possible, évitez d'avoir le même mot de passe pour toutes les applications. Et vous ne pouvez pas réutiliser ce mot de passe plus de trois fois. Il y a un niveau de profondeur assez élevé, surtout pour les banques. Et vous avez maintenant ce fameux jeton que vous recevez soit sur un téléphone portable, soit sur une application, soit parce que sur votre téléphone vous recevez une notification, il faut approuver quelque chose. La double authentification qu'on appelle le 2FA pour Two Factor Authentication, ou MFA, Multiple Factor Authentication, pour au-delà de deux, c'est-à-dire trois authentifications, quatre authentifications. Et bien en fait les personnes commencent à s'y habituer. Votre compte Gmail, si vous avez un compte Gmail, vous pouvez activer la double authentification. Et Google parle là-dessus. Microsoft avec des Microsoft Authenticator, l'application, ça commence à se démocratiser. Donc en fait il n'y a pas une application aujourd'hui qui... Enfin il en existe encore évidemment, trop à mon goût, mais on trouve de plus en plus des applications qui proposent ces mécanismes-là. Et donc du coup, en recevant... des choses qui vous embêtent dans la journée, des faux coups de fil qui se font passer pour votre fournisseur d'énergie ou votre provider, votre fournisseur d'accès Internet, en recevant des faux SMS, en recevant tout un tas de choses, je pense que de plus en plus, les utilisateurs commencent à être habitués. Donc ce qu'il faut aujourd'hui, c'est démystifier la cybersécurité et en parler simplement. Je ne sais pas si vous avez fait attention, mais on commence à en parler à la télé, à des heures de grande écoute. Le matin, quand je me lève, j'écoute par exemple la télévision pour écouter les informations. Il y a souvent des chroniqueurs et je vois des personnes de la cybersécurité, du monde des experts de la cybersécurité qui sont là et qui sont interviewés. Alors c'est le matin, mais vous allez avoir lors d'une cyberattaque de grande ampleur, sur le JT du soir, des interviews d'experts qui vont venir et qui vont expliquer quelque chose. Donc on en parle. Je ne vais pas citer la marque. Une marque qui change des pare-brises. Vous savez, dit bien à la fin, il faut taper sur tatatata.fr. Et attention, tapez bien.fr. Vous voyez, c'est une forme de sensibilisation. Donc la cybersécurité est en train de s'emparer du monde et personnel et professionnel et les médias, qu'ils soient télévisés ou comme vous aujourd'hui, ou comme les podcasts, ou comme les miniseries, le travail de Nancy ou d'autres. Le CYF a beaucoup travaillé pour faire des petites choses rigolotes. Ça se démystifie et donc du coup, je pense que les personnes commencent à englober ça.
Etienne E.
Donc il faut vulgariser pour...
Serge Misik
Trans.
Etienne E.
Ok. La menace est maintenant tangible et palpable pour le commun des mortels. Ça aide aussi à faire en sorte que les collaborateurs soient plus impliqués ?
Serge Misik
Oui, complètement. Vous savez, on a nos petites astuces aussi. On a nos campagnes de sensibilisation. qui sont de deux types. On va se faire passer pour un méchant, un cœur, et on va envoyer ces fameux mails de hameçonnage. Alors avant, on les envoyait par gros paquets. Puis on s'est aperçu que ça ne marchait pas parce qu'au bout de deux reçus, les collaborateurs se parlent. Je crois qu'il y a le RSSI qui est en train encore de nous embêter avec ses faux emails. Si tu reçois quelque chose, ne va pas cliquer dessus. Celui-là, il s'appelle Assurance. Ou alors il s'appelle, il vient de la DRH et on te sucre tes congés d'été. Évidemment, ça marche tout le temps très bien. Donc là, on les dilue dans l'année et on fait des groupes que ça passe un peu inaperçu, pour mesurer. Alors, il y a la première chose qui est de voir comment va réagir quand même l'utilisateur. Ce fameux taux de clic, mais ça n'est ni plus ni moins qu'un indicateur pour nous pour savoir vers où il faut porter l'effort. Parce que derrière, ce qui est vraiment intéressant, c'est comment est-ce qu'on va former l'utilisateur. Et aujourd'hui, je suis en plein dedans typiquement puisque je m'intéresse, là j'ai reçu différentes entreprises qui m'ont présenté leurs solutions. Il y en a qui vous proposent encore, hélas, Des gros paquets de modules d'e-learning, vous savez, vous mettez derrière l'écran et vous en avez pour une bonne heure et demie à faire votre e-learning et tant que vous n'avez pas fini, vous ne pouvez pas quitter. Non, on ne fait plus ça aujourd'hui, on fait des vidéos de 4-5 minutes de manière ludique, on fait de l'infographie fixe animée, on utilise tous les médiums possibles, c'est-à-dire l'image, le son, le texte, le quiz pour attirer l'utilisateur et lui faire faire en gros, allez, entre une heure et demie à deux heures de sensibilisation, formation à l'année. C'est quoi une heure de sensibilisation à l'année ? C'est quoi une heure dans une année ? C'est pas grand chose. Avec ça, on est arrivé dans les collectivités à passer d'un taux de clic de 19%, à peu près, selon les contextes, à 2 ou à 6%. Alors attention, un clic est toujours fatal. Ça suffit.
Etienne E.
Oui, mais les probabilités pour que le hacker amoure le mail à la bonne personne, entre guillemets, réduit aussi le risque de pénétration des systèmes.
Serge Misik
Voilà, tout à fait.
Etienne E.
Et se préparer à réduire le risque, ce sont des processus. Et quand on est, et là je parle à nos auditeurs, quand on est une TPE ou une PME, ça peut paraître être un chemin très difficile et complexe. Et c'est justement pour ça que POLD, dont vous faites partie, et Cibia, qui est une initiative qui émane de l'Europe et qui est en partenariat avec le Campus Cyber, tâche de rendre la cybersécurité accessible et ses mesures essentielles de cybersécurité accessible. Est-ce que vous pouvez nous parler de votre contribution à ce projet ? Il me semble que vous y êtes impliqué et que ce projet est d'importance pour vous.
Serge Misik
Pas assez impliqués, mais en tout cas impliqués. On travaille à une implication encore plus importante. Cependant, oui, on travaille avec Cibia. Déjà, pourquoi ? Parce que Paris-Ouest-la-Défense est sur Putot. Le campus cyber, d'après l'ANSI et d'après notre délégué Île-de-France, avec lequel je discute souvent, dit Serge, t'es à 7 minutes et demie du campus cyber. Et l'ANSI a une antenne au 12ème étage. Au campus cyber, j'y suis de temps en temps. Cibia, ils sont au 13ème. Paris-Ouest-La-Défense, on les a accompagnés de différentes manières. Quand ils ont créé le poste de RSSI à Paris-Ouest-La-Défense, ils ont créé finalement l'empreinte cybersécurité. Le DIH Cibia étant dans la cybersécurité, Cibia pour Cyber Security Intelligence Artificielle Hub, d'où Cibia, ils se sont dit, Serge, tu vas nous représenter. En tout cas, le RSSI, aujourd'hui c'est moi, prête le DIH Cibia, donc de ce pôle d'innovation et d'excellence, pour faire monter en maturité la cybersécurité dans le tissu économique des PME, des TPE et des startups. Comment ? Par deux choses. D'abord, on a aidé à recruter un expert en cybersécurité. Donc moi, je les ai aidés à recruter en recevant différents dossiers et en faisant passer des entretiens. Et puis ensuite, aujourd'hui, j'aide cet expert qui est formidable, avec lequel on accroche énormément à construire un catalogue de services basé sur de la technologie ou sur des unités d'œuvre. Quand il faut un pare-feu, on regarde quel type de pare-feu français on va mettre à l'ordre du jour. Qu'est-ce qui fait sens pour une TPE, pour une PME ? Vous ne construisez pas votre feuille de route cybersécurité. Pour une PME, pour une TPE, de la même manière que pour un groupe du CAC 40. Il y a certaines contraintes liées au domaine des petites et moyennes entreprises ou industries qui fait que vous n'arrivez pas avec tout un tas de briques à empiler les unes derrière les autres parce que la PME, elle sera noyée. Donc on les aide, comme ça, moi je leur apporte, ils apportent des noms, on apporte des noms et on construit le catalogue de services technologiques. Et puis également par unité d'œuvre. Qu'est-ce que j'appelle une idée d'oeuvre ? C'est pouvoir avoir des personnes qui vont vous faire une analyse de risque. Ça c'est purement, comme on dit dans notre bon vieux jargon, du jus de cerveau. Alors il faut des compétences derrière, mais c'est pas forcément un outil qui va vous faire l'analyse de risque. C'est un humain qui va passer du temps à interviewer les gens de la PME et en déduire quels sont les 2-3 risques dont la PME, auxquels elle fait face, et qu'il faut qu'elle diminue.
Etienne E.
Oui, on commence toujours par prioriser la première menace et ensuite on avance dans le process et puis on va toucher des risques minimes.
Serge Misik
Exactement. Et aujourd'hui, quand je dis nous essayons de nous réfléchissons à comment les aider davantage, c'est qu'ils sont peu nombreux, Cibia, aujourd'hui et qu'ils ont bien besoin d'aide. Donc en fait, ils s'aident avec des partenaires, des prestataires en cybersécurité qui vont aller voir les bénéficiaires, donc les clients. Donc les PME, les patrons, les gens des PME, les services informatiques s'il y en a, etc. En tout cas, ils vont avoir un certain nombre d'interlocuteurs et d'interviews à faire. Pouvoir avoir mené un questionnaire simplifié et avoir une évaluation de leur maturité de la cybersécurité, on va dire de presque zéro à quelque chose d'intermédiaire, ou de renforcé, ça peut être aussi une belle surprise. d'avoir une PME qui en est déjà à un niveau, on va dire élevé, ça arrive. Aujourd'hui, je pense que les établissements publics territoriaux, elle est là notre réflexion, sont des établissements qui ont un peu plus de monde que les mairies. Polde, ce n'est pas le bon exemple, on est 50. Mais grosso modo, vous prenez un autre établissement, GPSO par exemple, qui est Grand Paris Sud-Ouest, ou GPSEA, Grand Paris Sud-Est Avenir, ils sont beaucoup plus nombreux. Si vous prenez... Le département, le CD92, ou le CD78 ou le CD77, les conseils départementaux, et puis au-dessus la région, il me semble, à mon sens, que ces entités-là ont un rôle à jouer à accorder des ressources humaines et donc du temps, à dégager du temps pour leur personnel qui sont des experts en cybersécurité, parce qu'elles en ont, et leur dire peut-être que si Serge, tu vas voir un client, donc une PME, Tu vas en voir deux dans l'année ou trois dans l'année, et qu'à côté, mon voisin va en voir aussi deux ou trois dans l'année, et que ça s'ajoute, peut-être qu'on va couvrir un peu plus de PME et de PMI sur le territoire de l'Île-de-France. Et peut-être qu'à l'échelle nationale, puisque les EDIH, il n'y a pas que Sibia, on est à peu près une trentaine de DIH en France, un peu moins de 150 en Europe, on va réussir à toucher plus de PME et de PMI comme ça. Il faut vraiment mutualiser.
Etienne E.
Oui, mutualiser les efforts pour au final réussir à toucher. Aujourd'hui, on doit toucher quelques pourcents des TPE, PME. On est, j'ai l'impression, au début d'une démarche, on est au début d'une dynamique pour qu'à terme, pour que dans les 10 ans, etc., tout le monde soit embarqué. dans la cybersécurité et que toutes les entreprises, quelle que soit leur taille, aient mis en place les mesures essentielles.
Serge Misik
Alors, c'est même moins de temps que ça. C'est trois ans. C'est-à-dire que le DIH, il est comme le plan France Relance l'a été il y a quelques temps. Il est là pour vraiment tenter de cranter, c'est-à-dire de faire prendre conscience aux PME et PMI de lancer la machine, si je puis dire. Et ensuite, au bout de trois ans, d'avoir... eu suffisamment de temps pour donner les billes et dresser ce qu'on appelle un schéma directeur ou une feuille de route pour la PME et cranter encore une fois, l'avoir embarqué dans son parcours, dans son aventure cybersécurité qui est encore une fois l'objectif visé, c'est d'être dans un état de sécurité c'est ça la cybersécurité et donc d'ici trois ans, de lui faire prendre conscience que euh... Dans trois ans, le DIH s'arrêtera peut-être, la mission Cibia s'arrêtera peut-être, ou il y aura peut-être une phase 2, on ne sait pas, par la Commission européenne. S'il n'y en a pas, c'est qu'elle soit autonome, la PME. C'est que le tissu économique soit autonome. Vous savez que 99% de notre tissu économique est composé de PME, PMI. Le reste, les 1% qui restent, c'est le CAC 40. Donc aujourd'hui, on a du boulot.
Etienne E.
Une dernière question, parce qu'on arrive presque au terme de cette interview. Quelle est justement cette étape d'après pour une TPE ou une PME, sachant que toutes les TPE et PME ne peuvent pas avoir un DSSI ou un RSSI en interne et donc peuvent se retrouver dans une situation où personne, à part le dirigeant, n'est attaché à la cybersécurité. Quelle serait la solution au final pour qu'il y ait cette solution universelle de cybersécurité ?
Serge Misik
Évidemment, je n'ai pas la réponse exacte. J'espère que la prochaine étape, ce sera déjà de constater que les opportunités qui ont eu lieu via le plan France Relance, celles qui ont eu lieu en ce moment avec le plan France 2030 et l'opportunité donnée par la Commission européenne avec les EDIH, donc les pôles d'excellence et d'innovation dans différents domaines. dont la cybersécurité va permettre vraiment de cranter. Je pense que l'étape d'après, c'est de comprendre comment fonctionnent une PME et une PMI. J'aime bien dire un peu, penser out of the box, vous savez, sortir un peu de la boîte, et se dire, ah oui, la PME, elle ne fonctionne pas comme j'ai l'habitude de faire fonctionner la cybersécurité dans mon grand groupe, ou voilà. C'est de se mettre à leur portée, et d'avoir une myriade, ou en tout cas, des entreprises qui se créent. Quand je dis des entreprises, c'est des entreprises... expertes en cybersécurité et qui développent des catalogues adaptés à une PME ou à une PMI. Vous savez, une PME, c'est pas si compliqué que ça, la cybersécurité dans une PME. Il faut, encore une fois, je vais revenir sur le liste, identifier sa valeur, ses assets, ses actifs. Qu'est-ce qu'il a fait vivre ? Je sais pas, son fichier client, sa position, des brevets. En tout cas, une PME, elle a besoin d'identifier ses actifs. On n'est pas chez un grand groupe. On n'a pas des milliers et des milliers d'actifs. On a quelques-uns. Une collectivité ressemble énormément à une PME, en fait, finalement. Ensuite, on a besoin de la protéger, donc d'adresser le volet protection par deux, trois mesures technologiques. On a besoin de détecter, donc d'adresser le volet détection. Vous avez peut-être entendu parler de ce qu'on appelle les SOC, les Security Operations Center, ces fameux centres de supervision qui monitorent votre activité et essayent de trouver des choses un peu suspensives. paie en récupérant vos... en analysant ce qui se passe sur votre système d'information ou sur vos applications. Elle a besoin d'avoir quelque chose comme ça qui soit managé pour elle. Ça, c'est le volet détection. Elle a besoin à ce qu'on l'aide à mitiger ses vulnérabilités. Et là, je pense que dans la mutualisation, il y a beaucoup à faire parce que vous avez beaucoup de PME qui utilisent les mêmes actifs. Vous allez retrouver, par exemple, l'outil Salesforce à différents endroits, faisant la même chose. Donc, si on arrive... Les PME vont beaucoup dans le cloud maintenant, en mode SaaS. Et donc, du coup, il est facile dès lors de se dire, une fois que j'ai... évaluer les vulnérabilités de tel ou tel logiciel. Si je le corrige pour l'un, je le corrige pour l'autre. Et puis, à la fin, d'adresser sa résilience par des plans de continuité d'activité. C'est-à-dire, moi, qu'est-ce que j'ai pu voir ? Quand je suis arrivé à Pold, j'ai été sollicité pour une petite PME indépendante. On travaille avec eux, pas directement, mais est-ce que ça ne t'ennuie pas de les aider ? Qui venait d'être victime d'une cyberattaque. En mode gros poisson, c'est-à-dire le gros filet jeté à la mer et c'est quelqu'un qui a cliqué. Pas de pot, pas de sauvegarde. Voilà, pas de sauvegarde, 10 ans de travail perdu. Donc aujourd'hui, une PME, si elle prend en considération son travail, qu'elle sauvegarde ses données, qu'elle respecte des règles, ce qu'on appelle du 3-2-1, trois copies sur deux supports différents, dont une externalisée, donc une qui est inaccessible, parce que vos sauvegardes peuvent être également chiffrées. en interne, mais si elle est quelque part ailleurs sur le cloud et qu'elle est recopiée de cloud en cloud français, s'il vous plaît, si possible, en France ou sur des clouds européens, c'est une bonne pratique. Demain, finalement, vous n'avez pas besoin de payer la rançon puisque vous récupérez vos données. Vous n'avez pas besoin de les récupérer. Ce qu'il faut, par contre, c'est les chiffrer.
Etienne E.
Pour éviter le leak, le fameux Krypton leak.
Serge Misik
J'ai crypté. Je m'en moque. Je les aime, mes données. Elles sont sauvegardées. Et leak, vous allez faire fuiter des données chiffrées qui seront illisibles. Oui,
Etienne E.
le risque réputé. En fait, on a écarté d'abord le risque économique et le risque réputationnel dans la deuxième vague.
Serge Misik
Absolument, absolument. Et sur le fameux guide d'hygiène de l'ENSI qui comporte 42 bonnes mesures, finalement, on n'est pas obligé de prendre les 42 pour une PME. Peut-être qu'une dizaine suffit. Et il faut comprendre ça. Ce n'est pas si compliqué. de protéger des PME et des PMI. Ce qu'il faut, c'est aller convaincre et d'avoir le bon catalogue de services. Et c'est ce qu'on essaye de faire avec le DIH. Cibia, c'est de construire un catalogue en adéquation avec les besoins des PME et des PMI et des TPE.
Etienne E.
C'est parfaitement clair. Merci beaucoup Serge. Est-ce que pour terminer cette interview, vous avez envie d'adresser un message aux auditeurs justement en matière d'hygiène, puisque on est tous... Des travailleurs, mais on est tous avant tout des citoyens et des humains. Donc, est-ce que vous avez un message à passer d'hygiène numérique, de cybersécurité ?
Serge Misik
J'ai deux citations que j'aime beaucoup. Je suis quelqu'un qui aime bien lire. La première est d'un auteur américain qui s'appelle Stephen Covey. Elle est en anglais, mais vous la comprendrez facilement. C'est To know and not to do is really not to know Donc, connaître mais ne pas faire et vraiment ne pas connaître. La menace. Mais est-ce que... Vous voyez le sens ? Donc en fait, il faut s'approprier. Il ne faut pas se masquer. Vous savez, on parle souvent du black swan. Mais il y a dans la ménagerie des animaux à risque, il y a également le black elephant. Je ne sais pas si vous connaissez.
Etienne E.
Absolument pas.
Serge Misik
Il y en a quatre. On reviendra en saison 2.
Etienne E.
Avec grand plaisir.
Serge Misik
Si vous le souhaitez, pour parler de la ménagerie des animaux à risque. Mais le black elephant est l'éléphant qui est au milieu de la pièce. Dont on... connaît, on sait ce que ça va produire, on connaît la conséquence et on connaît l'impact. Mais on l'ignore, on a décidé de l'ignorer. Bon bah je vous dis pas ce qui peut arriver par la suite quoi. Voilà. Donc cette citation est là pour se rappeler que les Black Swan ça arrive, c'est-à-dire l'inconnu on savait pas et on connaissait pas l'impact, c'est ça un Black Swan ? Je vous expliquerai les deux autres, qui est le Jelly, le Black Jellyfish et le Grey Rhino une autre fois. Mais voilà, c'est en tout cas... être bien conscient que la menace est là et qu'elle ne va pas s'arrêter. Et la deuxième citation que j'aime beaucoup, c'est évidemment celle qui est très connue, elle est du philosophe chinois Lao Tzu. A journey of a thousand miles begins with a single step. Donc, pour dire que la cybersécurité, c'est vraiment un voyage qui commence un jour et qui s'adresse pas à pas. Il faut penser global, mais il faut agir local.
Etienne E.
Merveilleux. Merci pour votre disponibilité et tous ces précieux conseils.
Serge Misik
Merci à vous.
Etienne E.
A bientôt.
Serge Misik
A bientôt.
Etienne E.
Serge Mizik nous le rappelle, la menace est bien réelle et ses conséquences déjà bien connues. Quel que soit votre métier, il est indispensable de vous préparer à une attaque, car tôt ou tard, tout le monde finit par être pris dans les filets des cybercriminels. Si vous êtes une collectivité d'Île-de-France, à la tête d'une entreprise ou un acteur de l'économie sociale et solidaire, rendez-vous sur notre site sybih.eu. En attendant, n'hésitez pas à vous abonner à ce podcast sur votre plateforme d'écoute préférée. à commenter, noter ce podcast. Vos retours nous sont précieux. Également, nous suivre sur LinkedIn at Sybia, C-Y-B-I-A-H. À très vite.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

À propos de Serge Misik

Toujours dans l’action, Serge Misik continue de faire de la cybersécurité un levier essentiel pour bâtir des environnements numériques plus sûrs et résilients.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Serge Misik
Ce qui fait la particularité d'une attaque d'origine cyber, c'est qu'elle est fulgurante. Vous ne construisez pas votre feuille de route cybersécurité pour une PME ou pour une TPE de la même manière que pour un groupe du CAC 40.
Etienne E.
Bienvenue dans ce troisième épisode de Safe & Sound. Aujourd'hui, nous avons rencontré Serge Mizik, responsable de la sécurité des systèmes d'information de Paris-Ouest-la-Défense, un territoire regroupant 11 communes de l'Ouest parisien et coproducteur de ce podcast. Passionné de cybersécurité, il nous dévoile les clés pour comprendre les vulnérabilités et les enjeux cyber. Alors installez-vous et laissez-vous guider par cet expert. Vous écoutez Safe & Sound, le nouveau podcast dédié à la cybersécurité de Cibia, un programme coordonné par le Campus Cyber, cofinancé par la région Île-de-France et l'Union européenne. Il offre un accompagnement en sécurité numérique entièrement pris en charge pour les entreprises les acteurs de l'économie sociale et solidaire, ainsi que les collectivités franciliennes. Pour renforcer la sécurité de vos systèmes et bénéficier de cet accompagnement personnalisé, rendez-vous sur sybia.eu. Ce podcast est produit en partenariat avec le catalyseur de l'innovation et de l'entrepreneuriat de Paris-Ouest La Défense. Cet épisode est réalisé par l'Agence JEF. Bonjour Serge.
Serge Misik
Bonjour.
Etienne E.
Merci beaucoup de vous rendre disponible pour cette interview.
Serge Misik
Avec plaisir.
Etienne E.
Pour commencer, pouvez-vous vous présenter auprès de nos auditeurs ?
Serge Misik
Oui, absolument. Je m'appelle Serge, Serge Mizik. Je suis RSSI. C'est un grand acronyme pour dire que je suis responsable de la sécurité des systèmes d'information. En fait, qu'est-ce que je fais ? Je m'occupe de la sécurité de tout le patrimoine informationnel. Toutes les données, grosso modo, toute la protection, tout ce qui a de la valeur pour Paris Ouest, la Défense. Voilà, auparavant j'étais chez Systra où j'étais également RSSI et où on en parlait juste un petit peu avant j'ai fait évoluer la fonction vers ce métier de ciseaux finalement qui a une vraie différence entre un RSSI et un ciseaux plus la partie business dans ciseaux et création de valeur alors que RSSI reste un peu plus technique mais ça évolue en France et encore auparavant j'étais à l'AFP où on va dire je suis resté longtemps à l'école, à l'AFP, parce que j'y ai passé 20 ans. Donc en passant par différents métiers, mon background de base c'est ingénieur réseau et télécom et j'ai forgé ma carrière pour devenir RSSI parce que dès lors que j'ai rencontré un de mes mentors, je me suis dit c'est ça que je veux faire.
Etienne E.
Justement, comment on devient RSSI ? Comment on attrape le virus, entre guillemets, de la sécurité informatique ? Quelles sont ses motivations et comment on construit son parcours pour devenir RSSI ?
Serge Misik
Je ne pense pas qu'il y ait aujourd'hui un parcours, il n'y a pas de parcours tout tracé pour devenir RSSI. Je vais répondre à la première question, comment est-ce qu'on attrape le virus ou comment est-ce que moi j'ai attrapé le virus ? Je vais vous le dire dans les termes tels que me l'a dit un jour mon mentor qui travaille aujourd'hui chez Airbus, puisqu'il est le numéro 3 de la sécurité chez Airbus. Il est resté mon mentor, il était à l'AFP auparavant. Il m'a dit aujourd'hui Serge, puisque tu viens d'arriver, tu es le petit nouveau, tu vas travailler avec moi et nous allons burner les IGX. Wow, j'ai dit qu'est-ce que c'est que ce truc là ? Qu'est-ce que c'est que ce langage ? Il me dit on va simplement mettre à niveau un gros équipement de sécurité de télécommunication. Et en fait, il faut le faire de manière pragmatique. Il faut le faire en suivant un mode d'emploi parce que sinon, il peut y avoir une rupture. de communication, une indisponibilité et c'est là que j'ai commencé à mettre mon pied dans la sécurité puisque la disponibilité est un des critères de sécurité. Je me suis dit c'est ce truc là que je veux faire mais ça a été le premier déclencheur. Le deuxième déclencheur, c'est que c'est réellement en fait un parcours où il faut aimer l'humain. Il faut aimer l'humain parce que nous sommes entourés de technologies. Mais d'humain, et moi, je suis passionné par l'humain. Donc, avec ces deux critères, je crois qu'on m'a donné le virus et il ne m'a jamais quitté. Je n'ai jamais porté de masque pour ça, en tout cas.
Etienne E.
Vous avez parlé d'humain. La collaboration est au cœur, j'ai l'impression, de votre métier. D'après vos premiers mots, à quoi ressemble votre quotidien ? À quoi ressemble votre collaboration, que ce soit avec vos collaborateurs dans le service de la sécurité informatique, comme avec les agents de Paris Ouest La Défense ?
Serge Misik
Alors aujourd'hui, je suis un RSSI qu'on appelle mutualisé. ou partagé, qu'est-ce que ça veut dire ? Ça veut dire que Paris-Ouest, la Défense, a eu l'idée il y a un an et demi, deux ans, de créer en fait cette fonction de mutualisation en se disant les RSSI sont des profils rares, les RSSI on va dire un peu seniors, comme moi, avec, j'attaque mes 25 ans d'expérience maintenant, alors pas en tant que RSSI mais dans le monde de la cyber. Donc j'en apprends tous les jours, mais cependant, voilà, j'ai quelques acquis, quelques heures de vol, comme on dit. Ils se sont dit, puisque les RSSI, les profils sont rares et qu'on a du mal à recruter, on va mutualiser. Et donc en fait, Paris-Ouest-La-Défense, c'est un établissement public territorial qui regroupe différentes mairies, 11 pour être précis. Elles se sont dit, plutôt que d'avoir 11 RSSI, on va en prendre un et qu'on va partager. Donc en fait, mon quotidien... Il est de me balader de mairie en mairie et d'être le RSSI de 11 mairies plus l'EPT, l'établissement public territorial Paris-Ouest-La-Défense, donc 12 contextes, et en fait de les accompagner sur ce que j'appelle, j'aime bien appeler communément le volet des 3P. Pourquoi 3P ? Le premier pour people, les gens, le deuxième pour product, de la technologie, ce qu'il en faut. Et le troisième pour process, parce qu'il faut un peu processer tout ça. Donc en fait, je me balade et le but étant d'élever le niveau de maturité de ces collectivités, déjà de savoir à quel niveau elles en sont, et de savoir constamment quel sera le next step. Et de l'élever petit à petit et de rentrer dans une démarche d'amélioration continue, donc d'être bon élève on va dire, et de diminuer les impacts de cyberattaques, mais pas que. parce que les attaques peuvent venir de l'externe, mais également de l'interne.
Etienne E.
Il y a une différence entre RSSI chez Systra ou à l'AFP, par exemple, et dans une collectivité territoriale ou dans une mairie. Est-ce que le travail est le même ou il est foncièrement différent ?
Serge Misik
La base du travail d'un RSSI est globalement toujours la même. On travaille sur ce fameux triptyque qui est disponibilité, intégrité, confidentialité. Épreuve, un quatrième, c'est-à-dire la traçabilité. Cependant, on l'adapte à notre environnement. Je crois que la majeure, les grandes différences que je note dans une collectivité publique, ou en tout cas dans le secteur public, et dans un établissement comme Paris-Ouest-La-Défense, mais également les mairies dans lesquelles je vais, premièrement, c'est le budget. Je gérais quelques millions par le passé, je gère quelques centaines de cas maintenant. Donc on ne fait pas... Je ne peux plus me payer une Porsche, je peux me payer une Volkswagen.
Etienne E.
C'est peut-être tout aussi fiable.
Serge Misik
On ne fait pas tout à fait la même chose. En tout cas, ça c'est la principale différence. La seconde différence sont les ressources humaines. On a moins de personnes. Par le passé, j'ai eu une équipe avec des personnes seniors que j'encadrais et on travaillait tous en équipe au sein de la structure ou du pôle cybersécurité. Là, pour l'instant, je suis mutualisé, mais je suis mutualisé tout seul, à moi tout seul. Il est prévu de recruter, mais pour l'instant, c'est un peu en stand-by. On verra sur 2025, parce que je renforce le pilier technologique, comme je vous le disais, les 3P. Le volet people va venir. Le troisième élément différenciateur, c'est que dans le secteur privé, vous savez, il y a ces fameux COMEX, ces comités exécutifs. où vous avez les patrons, la direction générale, et où moi, par le passé, j'étais pas membre, mais invité. Aujourd'hui, je suis pas dans les codires, je suis pas dans les comités de DGS, qui sont les directeurs généraux des services, c'est-à-dire des personnes qui répondent directement aux maires dans les mairies. Et donc, du coup, le volet humain lié au top management est manquant. est un maillon manquant, mais on y arrive, on commence à y venir. Je pense que je les bassine avec la cybersécurité et donc je vais les voir de manière non anxiogène. Donc du coup, il m'invite maintenant pour me dire Serge, tu as plein d'idées, tu en as une à la minute, il va falloir se calmer un petit peu, mais du coup, je les embarque avec ma passion. Ça se sent que je suis passionné, je pense.
Etienne E.
Vous sentez une prise de conscience au niveau de la cybersécurité ces derniers mois, voire ces dernières années, avec justement une augmentation palpable de la menace ?
Serge Misik
La menace, elle augmente constamment. Je crois qu'on est passé d'une menace typiquement de ransomware, elle a évolué je crois en 2023. Alors les ransomware sont ces fameux spyware logiciels qui chiffrent vos données, puis après on vous demande une rançon. En 2023, il y a eu une augmentation de près de 50%. Donc ça évolue constamment. Oui, je sens une prise de conscience. Je ne saurais pas forcément l'expliquer. Je pense qu'il y a eu beaucoup de volonté de la part de la France, de la part de l'Europe, de la part des pays comme Israël, qui sont très bons en cybersécurité. Il y a un enjeu démographique derrière, il y a un enjeu stratégique pour des pays comme les États-Unis, comme Israël, comme d'autres. Et l'Europe a son mot à dire. Donc du coup... Je pense que pour ne pas rester à la traîne, puisque les méchants ont toujours une longueur d'avance, ils n'ont que ça à faire, ils n'ont qu'à attaquer. Nous, il faut qu'on se défende et de plus en plus, on assiste à un changement de paradigme qui est d'avoir une posture offensive. On va essayer d'analyser la menace, c'est-à-dire qu'on mêle un peu, ça devient de moins en moins, c'est toujours technique. Cependant, on va trouver du... profiling c'est à dire comprendre la personne menaçante comprendre pourquoi est ce qu'elle agit pourquoi est ce qu'elle m'en veut c'est ce qu'on appelle la street intelligence passe à cela comme comme l'intelligence artificielle arrive il est clair qu'aujourd'hui on n'a pas d'autre choix que de renforcer nos postures et de moins en moins je vois les entreprises en tout cas des collectivités attendre de se prendre quelque chose qui fait mal et rentrent la cybersécurité dans leur stratégie à l'échelle globale.
Etienne E.
Est-ce que la menace qui pèse sur les collectivités est la même que celle qui pèse sur les entreprises ? Vous parliez des ransomware qui touchent beaucoup les entreprises parce que la data a une valeur considérable, c'est l'or des entreprises. Est-ce que c'est la même menace pour les collectivités ou elle est différente ? Vous parliez aussi de profiling. Est-ce que les personnes qui attaquent les collectivités sont différentes, animées par d'autres vindications, d'autres motivations ?
Serge Misik
Alors on a toujours face à nous des personnes qui sont malveillantes. Et dans le domaine d'où je viens et dans les collectivités où je suis aujourd'hui, ce qui prime c'est la cybercriminalité. Il y a quatre types de menaces. Il y a la cybercriminalité, donc là c'est typiquement la pas du gain. Vous avez la déstabilisation, donc on l'a vu grandement avec le contexte géopolitique entre l'Ukraine et la Russie, et ce qui se passe en ce moment avec l'Europe. Mais pas que, puisque la déstabilisation est une menace qui peut affecter les collectivités, je pourrais revenir dessus par la suite. Vous avez le sabotage, et puis vous avez l'espionnage. Voilà les quatre grands types. L'espionnage, on va plus le retrouver... à l'échelle des États ou à l'échelle dans les domaines industriels.
Etienne E.
Les fameuses industries vitales.
Serge Misik
Là où on manipule du secret, de la prod, de la... Voilà. Dans les collectivités, vous parliez de data et d'or. On l'a aussi. On l'a aussi. Pourquoi ? Parce qu'on manipule des données des citoyens. Des données qui valent extrêmement cher. Des données qui, sur le Darknet, se vendent très cher. Les collectivités manipulent des cartes nationales d'identité. Manipulent des empreintes biométriques quand vous faites votre passeport, manipulent des passeports, manipulent des données de santé, manipulent des déclarations d'imposition pour calculer les quotients familiaux, pour avoir droit à des aides ou pas. Et donc en fait, toutes ces données-là sont extrêmement importantes et attirent les cybercriminels qui vont vouloir s'en emparer pour les revendre à prix d'or justement ou en faire des faux et les revendre également sur le Darknet.
Etienne E.
Ok, donc en fait, ils utilisent les mêmes techniques que lorsqu'ils attaquent une entreprise privée. Ils viennent bloquer et chiffrer les données de l'entreprise pour essayer ensuite de tirer une rançon, pour ne pas les diffuser, voire pour les rendre à la collectivité.
Serge Misik
Complètement. On est globalement sur les collectivités. Le risque, cette fois, on parlait de menace tout à l'heure, là je parlais de risque opérationnel. Donc technique, ce que je vois, c'est clairement... Ce qu'on appelle l'usurpation d'identité, l'ANSI en classe 9, 9 risques. Il y en a deux qu'on peut séparer. Il y a le phishing, vous savez ce fameux hameçonnage qui vise à vous envoyer un faux quelque chose, un faux SMS, un faux email. Alors évidemment majoritairement ça va être un faux email qui va usurper votre service informatique, se faire passer pour votre service informatique. Il faut mettre quelque chose à jour et cliquer là. Le fameux cliquer là ou ouvrir une pièce jointe. C'est comme ça que le malware, en tout cas le virus, rentre dans le système d'information et fait quelque chose, agit. en provoquant des dommages, ou effectivement, le rançon JCL, donc le ransomware, qui chiffre les données et ensuite, pour pouvoir vous les déchiffrer, vous demande une rançon, ce qui aujourd'hui, évidemment, ne vaut plus du tout la peine. Je lisais dernièrement un article, encore une fois, ce qu'on appelle le crypt and leak, c'est-à-dire le je crypte ou je chiffre, puisqu'on ne dit pas crypter, mais on dit je chiffre. Et je leake, donc je fais fuiter. C'est-à-dire qu'aujourd'hui, il y a l'effet qui se coule, je vous ai chiffré vos données, et le double effet qui se coule, vous avez payé la rançon, mais je les ai quand même diffusées sur le Darknet ou sur Internet.
Etienne E.
Oui, il passait dans les conditions générales, il y avait marqué que c'était juste pour les récupérer, en fait, la rançon. Oui,
Serge Misik
voilà, dans les conditions générales de vente, avec le petit astérix en bas, où il y a marqué surtout ne pas croire. Exactement. Il n'y avait pas marqué que finalement, après avoir payé la rançon en Bitcoin à quelques millions, nous allions quand même les... les divulguer sur internet, vous causant des dommages.
Etienne E.
Vous sentez une recrudescence des attaques, vous, ces derniers temps ?
Serge Misik
On sent que les attaques augmentent, on sent surtout qu'elles se complexifient. L'intelligence artificielle arrive, elle est même là. Le machine learning, l'intelligence artificielle, légère on va appeler, on va pas lourde, c'est quand on a une intelligence qui est capable de réagir avec une émotion. ou forte, comme on dit, mais l'intelligence artificielle faible qui est capable d'auto-apprendre, on l'a vu avec les fameux Ausha de JPT, on reste sur un jeu du chat et de la souris, c'est-à-dire les hackers bénéficient de plus en plus d'outils très sophistiqués et pour le mortel qui n'est pas expert en cybersécurité, déjà pour les experts ça devient compliqué, pour ceux qui ne sont pas experts ça devient... extrêmement compliqué de différencier le frais du faux. C'est comme les fake news ou les deepfakes maintenant. On voit bien ce que la technologie est capable de faire. Là où par le passé, on avait majoritairement des groupes, ces fameux groupes APT, vous savez, APT27, APT28, la sophistication était humaine. C'est-à-dire qu'il y avait un cerveau humain derrière. Là, il y a toujours de l'humain derrière, parce que les cybercriminels sont... Hyper bien organisé, c'est des véritables PME sur le Darknet. Vous savez que vous pouvez vous faire embaucher, vous allez avoir un salaire x10, x12, x20, illégal évidemment. Et puis vous courez un risque de vous faire attraper et de passer quelques belles années derrière des barreaux. Cela dit, il y a de plus en plus les machines qui aident maintenant les hackers et ce qu'on appelle les bots, les robots. Vous avez des machines qui vous attaquent avec un niveau de sophistication assez important.
Etienne E.
D'accord, l'intelligence artificielle, il y a le côté deepfake, etc. Mais il y a aussi un côté, ça permet de complexifier l'attaque, de faciliter certaines tâches, c'est ça ? Ça permet d'accélérer sur le déploiement de l'attaque ?
Serge Misik
Oui, ça permet de faire beaucoup de choses. Ce qu'on appelle une fameuse kill chain, c'est-à-dire la chaîne d'attaque en cet état, du moment où on va faire une phase de reconnaissance. Je vais me renseigner un petit peu sur l'entreprise que j'ai comme cible. Je vais amasser de l'information. Puis ensuite, je vais construire ma menace et je vais livrer ma menace, ce qu'on appelle la charge, qui contient la bombe, finalement, qui va exploser dans votre entreprise ou dans votre collectivité. Alors, qui va exploser en faisant du bruit ou en faisant pas de bruit ? Je ne sais pas si vous vous souvenez de l'attaque de TV5Monde. dont la menace avait été présente pendant très longtemps dans le système d'information, sans que personne ne s'en aperçoive. Aujourd'hui, je crois qu'on est sur à peu près une cent cinquantaine de jours en menace présente sur un système d'information sans qu'elle soit détectée. Attention, j'essaye de ne pas faire peur. Aujourd'hui, heureusement, on a des outils qui détectent pas mal de choses. Mais vraiment, si l'attaquant vous a ciblé, c'est comme celui qui veut vous cambrioler aujourd'hui. Vous avez beau avoir un système d'alarme, Vous avez beau avoir trois Dobermans, deux tourelles avec des gardes armés, il rentrera.
Etienne E.
Ça ne fera que le ralentir ou lui rendre la tâche un peu plus complète.
Serge Misik
Absolument.
Etienne E.
Mais effectivement, cette information, justement, le commissaire Fabrice Billot de la BL2C, donc la brigade de lutte contre la cybercriminalité, nous a sensibilisés à ce point qui est maintenant les attaquants peuvent rester des mois dans un système d'information, collecter, regarder en fait jusqu'à où ils peuvent pousser les ramifications. Avant de rendre l'attaque visible pour maximiser le gain qu'ils font derrière.
Serge Misik
Tout à fait. Ce qui s'est produit, c'est que le cybercriminel, c'est de la criminalité pure. Donc, c'est l'appât du gain. Donc, par le passé, moi, j'ai connu des attaques. J'en ai vécu deux, des cyberattaques. Pas de grande ampleur. Mais oui, il a fallu payer en bitcoin à l'époque où le bitcoin était à 300 dollars. J'aurais dû investir à ce moment-là. J'ai été bête. Mais bon,
Etienne E.
il fallait en garder un pour vous au moment de la réception.
Serge Misik
Qu'est-ce que faisaient ces fameux hackers ? Ils envoyaient plein d'attaques et récoltaient des petites sommes. Ces petites sommes accumulées faisaient qu'à la fin, ils avaient une somme qui se chiffrait à quelques zéros. Aujourd'hui, ils vont analyser beaucoup plus leur contexte, la menace, et créer une menace dont on ne pourra pas se parer. Il faut être conscient. Aujourd'hui, quand on a décidé de vous attaquer et d'être la cible, c'est extrêmement compliqué. Vous pouvez réduire les conséquences et les impacts, mais l'empêcher...
Etienne E.
C'est assez intéressant, vous avez subi deux attaques apparemment de faible ampleur. Ça éveille forcément ma curiosité. Comment on réagit quand il y a une cyberattaque et comment on fait pour préserver au maximum l'intégrité de la donnée, l'intégrité des systèmes d'information ? Qu'en tenir au maximum comme un bateau qui a une voie d'eau pour éviter le naufrage ?
Serge Misik
Ce qu'il faut savoir, c'est que comme on réagit, on réagit comme on peut. Tout d'abord, parce que la première fois, on n'est jamais préparé, mais je crois qu'on n'est jamais de toute manière préparé. On a beau faire des exercices, s'entraîner, etc. Ce qui fait la particularité d'une attaque d'origine cyber, c'est qu'elle est fulgurante. Tout d'un coup, ça commence souvent par un appel, et puis deux, et puis trois, et puis selon la taille de votre entreprise, mille ou dix mille. Je veux dire, il se passe... Donc là, vous savez forcément qu'il se passe quelque chose de louche ce matin-là, ou cette nuit-là, ou ce week-end-là. Parce qu'évidemment, ça n'arrive pas à 10h30 du matin, quand vous êtes concentré avec toutes vos équipes de présent.
Etienne E.
Oui, comme les attaques militaires, on les fait toujours au moment où le défenseur est le plus vulnérable.
Serge Misik
Exactement. Mais grosso modo, les premières, ce qu'on appelle les emergency measures, donc les mesures d'urgence qu'on met en place, sont des mesures très simples et très logiques. Déconnecter un PC, ne pas l'éteindre parce que sinon on perd ce qu'il avait en mémoire, on perd la preuve de l'attaque. Quand on va aller déposer plainte, il faut qu'on ait des preuves. Donc déconnecter un réseau, isoler des bouts de réseau. Donc on avance petit à pas et imaginez une autoroute ou une petite route de campagne. Et puis vous avez un accident sur cette route de campagne. Et puis cet accident a des conséquences sur la départementale qui est juste à côté. Mais ça a aussi un incident sur la nationale qui n'est pas très loin. Et puis ça a un autre incident ou une autre conséquence sur l'autoroute finalement A7 qui est à côté. Qu'est-ce que vous allez faire ? Vous allez décider, vous les forces de l'ordre, accompagné d'autres, de fermer tous ces tronçons. Nous c'est pareil. On ferme de manière à endiguer l'attaque à la... concentrée au maximum là où elle est. Je rappelle qu'en 2019, l'attaque de Bouygues Construction au Canada, suite à un ransomware, donc à ce fameux rançon JCL, a été présente sur ses serveurs de Vancouver, je crois, à un certain temps. Huit heures après, elle était présente au siège à Aylancourt, donc à côté de Versailles. Je vous le dis, c'est fulgurant.
Etienne E.
C'est très binaire en fait, soit tout va bien, soit tout s'effondre.
Serge Misik
Exactement, c'est tout d'un coup tout était au vert et tout d'un coup tout devient en rouge. Quand vous arrivez à voir le rouge ? Parce que par moment, les hackers masquent le fait qu'ils arrivent à prendre le contrôle. Ça c'est vrai par exemple dans l'industrie, ils prennent le contrôle des systèmes qui surveillent tout le système industriel, comme par exemple l'attaque de la centrale nucléaire en Iran, vous savez, où en fait... Les gens qui étaient derrière les panneaux voyaient tout au vert. Tout va bien. Mais en fait, derrière, la centrale augmentait d'un demi-degré toutes les 24 heures, je crois.
Etienne E.
Ce n'était pas justement, vous parliez de risque de l'attente, les clés USB qui s'étaient baladées jusqu'à arriver dans la centrale nucléaire ?
Serge Misik
Alors si, on a su un petit peu le fameau de l'histoire. Ils s'en sont pris au patron. Quand je dis ils, c'est les Russes. Si je me souviens bien, ils s'en sont pris au directeur de ce système industriel qui gérait directement la centrale. Il devait faire une mise à jour d'un équipement industriel. Et en fait, tous les soirs, il rentrait avec une clé USB qu'il mettait chez lui. Et finalement, ils ont réussi, par un biais décalé, quand on dit qu'il faut faire attention aux réseaux sociaux, à se dire... On ne va pas l'attaquer lui directement parce qu'il est assez bien sensibilisé. On va attaquer sa femme. On va poursuivre sa femme en ingénierie sociale. Vous savez, étudier justement le mode opératoire de sa femme. Comment est-ce qu'elle passe ses journées ? Qu'est-ce qu'elle fait ? Etc. Et ils ont piégé sa femme. Et elle est rentrée avec une clé USB qu'elle avait trouvée quelque part qui contenait un virus. Elle l'a posée à la maison. Et lui, le matin, exactement le même modèle, je crois qu'il a pris la clé qui contenait ce virus. Et le lendemain, il a voulu faire sa mise à jour. La mise à jour, je ne crois pas qu'elle ait marché.
Etienne E.
La parfaite illustration de comment une attaque peut être sophistiquée et la vigilance que ça requiert pour s'en prémunir. Et justement, quand on gère la cybersécurité d'un établissement public territorial et de 11 communes, et pas des moindres, on parle de communes comme Bourbevoie plutôt, puisqu'on enregistre ici à la Défense, mais il y a aussi des villes comme Saint-Cloud. de Nuit-sur-Seine, Levalois, etc. On ne va pas toutes les citer, mais en tout cas, on a des villes importantes avec un tissu économique très dense, beaucoup de population. Comment, au final, on arrive à préparer les villes, les systèmes d'information et à en assurer la résilience, surtout quand on est, au final, tout seul pour un territoire énorme en termes de population et en termes de PIB ?
Serge Misik
La première chose quand je suis arrivé, c'est que j'ai eu la chance d'avoir, comme on dit, un terreau fertile. C'est-à-dire que j'ai des collègues DSI. Vous avez rencontré ma DSI tout à l'heure. Donc j'ai des DSI, des directeurs ou des directrices des systèmes d'information, puisque je suis rattaché aux systèmes d'information, qui sont très portés sur l'aspect cybersécurité. Qu'est-ce qui a fait ça ? Je ne sais pas. L'appétence. En tout cas, il y a une appétence assez importante pour pouvoir gravir les échelons, step by step, pas par pas, pour arriver à une maturité, on va dire, plus élevée, plus évoluée. Et c'est peu dire parce que dans les collectivités, on part de bas, on part vraiment de très bas. Mais il y avait déjà des choses en place. Je vous parlais des 3 P tout à l'heure, qu'est-ce qu'on met en place en premier ? Qu'est-ce que j'ai mis en place en premier ? De la technologie. On met en place des technologies et qu'est-ce qu'on met en place ? On met en place des technologies de protection. J'ai commencé par mettre des technologies de protection. Je me suis basé sur un cadre que j'aime bien, qui est le cadre du NIST, qui est un framework américain, un cadre de travail américain. le NIS pour National Information Institute and Technology. Il parle de cinq piliers, l'identification, la protection, la détection, la réponse à un incident et ce que j'appelle moi, ce qu'il appelle recover en anglais, moi j'appelle ça la résilience ou la cyber résilience, comme on a tendance à l'appeler aujourd'hui. Et on travaille sur ces cinq piliers indifféremment. Alors le nouveau framework V2 a introduit la gouvernance, c'est-à-dire gouverner, piloter, driver. Mais je la sors un peu à part, parce que j'ai une vision différente de la gouvernance vue du risque. Mais en tout cas, j'ai travaillé sur la partie briques technologiques et encadrement par des processus. Donc en fait, je leur ai dit par priorité, vous n'avez pas ça, vous n'avez pas ça, il vous manque ci, il faut qu'on travaille pour les mettre. Et ce faisant, on a réussi à diminuer les risques. Évidemment, il reste encore énormément de travail, mais en tout cas, on fait ce qu'on peut pour vraiment... minimiser les risques. Vous savez, il y a souvent cette phrase de dire si je vais être attaqué et on ne dit plus si je vais être attaqué mais quand je vais être attaqué Et moi, je vais au-delà de cette phrase, puisqu'on connaît, on a éliminé la probabilité et qu'on est sûr qu'on va se faire attaquer, le temps est là, j'ai éliminé le temps, puisque je pars du principe qu'on va se faire attaquer, et donc du coup, maintenant, on travaille sur la réduction des impacts et des conséquences.
Etienne E.
Comment on fait ? On segmente, on cloisonne un maximum les différents systèmes d'information, ou du moins les différentes branches ?
Serge Misik
Déjà, on segmente le réseau et on filtre dans le réseau, où on met des briques qui font ça. Déjà, on essaye d'empêcher la personne malveillante de pénétrer, de taper à la porte et d'avoir une porte ouverte et de rentrer. Ça, ça s'appelle gérer les vulnérabilités et les corriger. Je pense que c'est responsable de 80%... Des attaques, aujourd'hui, si tout le monde adressait une bonne gestion des vulnérabilités, ce serait déjà un petit peu plus compliqué. Mais une fois qu'on est rentré, on va éviter de se balader à droite et à gauche, ce qu'on appelle les mouvements latéraux. Et pour ce faire, on va donner le moins de droits possibles à un utilisateur. Moi je suis RSSI, mais mon PC a des droits lambda. C'est-à-dire que je ne suis pas administrateur de mon PC. Euh... Est-ce qu'il veut dire que si on en prend le contrôle... Je ne peux pas faire grand chose avec. Je n'ai même pas des droits pour me connecter sur des applications. J'ai des collègues qui le font, qui ont ces droits-là, évidemment, avec lesquels je travaille dans les DSI. Mais moi non, pourquoi ? Parce que les RSSI sont des personnes ciblées, aussi bien que les personnes des ressources humaines, qu'aussi bien que les personnes des finances, les directeurs financiers ou directrices financières, les directeurs généraux des services. Ce sont des personnes, ce qu'on appelle nous dans notre jargon, et même ce n'est pas un jargon, mais les VIP, les Very Important People. On a tendance aujourd'hui à les appeler aussi les very attacked people les VAP, donc les gens véritablement ciblés. Donc on va définir qui doit avoir un minimum de droits et qui doit en avoir un peu plus. Et ensuite, on va jouer sur ces droits. Dans ceux qui doivent en avoir un peu plus, on va dire ok, une fois qu'on a mis ce qu'on appelle le moindre privilège en action, de least privilege, on va mettre ce qu'on appelle le need to know en action, le droit d'en connaître. C'est-à-dire que pour faire mon travail, moi, j'ai peut-être pas besoin... de connaître ou de savoir, d'avoir telle ou telle information. Donc je vais restreindre l'accès à l'information qui m'est utile dans mon travail au quotidien. Et c'est ce qu'on fait dans les collectivités, on réduit ses droits en travaillant sur la gestion des identités et des accès. Il est important de filtrer au plus fin possible et de faire une revue et de corriger constamment et d'affiner. Vous avez beaucoup de mobilité dans les collectivités, vous avez des agents de la fonction publique, qui un jour étaient au pôle du traitement des eaux ou des déchets et puis qui le lendemain se retrouvent parce qu'ils l'ont souhaité et ont eu une formation à travailler pour le développement durable ou alors pour le système d'information géographique. On s'assure que les droits qu'ils avaient auparavant leur sont retirés parce qu'il n'est plus nécessaire qu'ils les aient pour leur travail de tous les jours.
Etienne E.
Et justement, vous avez parlé des briques technologiques comme première étape pour sécuriser. Maintenant, on parle de l'humain à travers cette gestion des accès. Comment on embarque les agents et on les sensibilise au-delà de cette question d'accès qui est peut-être plus back-office, qui est peut-être une gestion, une vision que vous, vous avez en tant qu'ARSSI, mais comment on embarque les agents à être sensibilisés à la sécurité informatique, à ne pas cliquer sur n'importe quoi, à ne pas télécharger une application parce que plus rapide pour décompresser un fichier PDF. Comment on arrive à... à faire en sorte que tout le monde ait cette hygiène numérique qui est indispensable au sein d'une collectivité comme d'une entreprise.
Serge Misik
Alors il y a différentes méthodes pour sensibiliser les personnes. C'est comme dans toute gestion du changement, vous allez avoir des personnes qui vont avoir un mindset, donc un état d'esprit très ouvert et vous allez avoir des récalcitrants, vous allez avoir des gens qui vont avoir peur parce que ça fait très peur. On ne sait pas ce que c'est vraiment que la cybersécurité, c'est une nébuleuse, c'est très IT. On apparente souvent ça derrière à des gens qui sont des geeks, vous savez le fameux hacker en capuche, avec son sweat à capuche, c'est complètement faux cela maintenant évidemment, on n'a plus du tout cela. J'apporte cette sensibilisation par expliquer très simplement et très clairement, donc en vulgarisant et en faisant des parallèles avec leur vie privée régulièrement. Vous êtes spammés tous les jours, c'est-à-dire on vous embête. tous les jours vous recevez vous vous souvenez de cette mode de cette phase où on recevait constamment des sms sur le compte professionnel de la formation le cpf donc aujourd'hui les utilisateurs ils ont cette chance ou cette malchance en tout cas c'est une opportunité pour nous et on l'utilise de recevoir dans la vraie vie ce qu'ils peuvent recevoir en milieu entreprise en milieu professionnel donc du coup ça leur parle aujourd'hui dans votre banque vous avez un compte bancaire on vous ôte on vous oblige votre banque vous oblige de vous double authentifier. Vous avez votre compte, votre numéro de compte qui est votre identifiant ou autre chose. Vous avez un mot de passe qui aujourd'hui se complexifie, 12, 13, 15 caractères avec des majuscules, des minuscules, des points d'exclamation, enfin en tout cas des caractères spéciaux, etc. Et si possible, évitez d'avoir le même mot de passe pour toutes les applications. Et vous ne pouvez pas réutiliser ce mot de passe plus de trois fois. Il y a un niveau de profondeur assez élevé, surtout pour les banques. Et vous avez maintenant ce fameux jeton que vous recevez soit sur un téléphone portable, soit sur une application, soit parce que sur votre téléphone vous recevez une notification, il faut approuver quelque chose. La double authentification qu'on appelle le 2FA pour Two Factor Authentication, ou MFA, Multiple Factor Authentication, pour au-delà de deux, c'est-à-dire trois authentifications, quatre authentifications. Et bien en fait les personnes commencent à s'y habituer. Votre compte Gmail, si vous avez un compte Gmail, vous pouvez activer la double authentification. Et Google parle là-dessus. Microsoft avec des Microsoft Authenticator, l'application, ça commence à se démocratiser. Donc en fait il n'y a pas une application aujourd'hui qui... Enfin il en existe encore évidemment, trop à mon goût, mais on trouve de plus en plus des applications qui proposent ces mécanismes-là. Et donc du coup, en recevant... des choses qui vous embêtent dans la journée, des faux coups de fil qui se font passer pour votre fournisseur d'énergie ou votre provider, votre fournisseur d'accès Internet, en recevant des faux SMS, en recevant tout un tas de choses, je pense que de plus en plus, les utilisateurs commencent à être habitués. Donc ce qu'il faut aujourd'hui, c'est démystifier la cybersécurité et en parler simplement. Je ne sais pas si vous avez fait attention, mais on commence à en parler à la télé, à des heures de grande écoute. Le matin, quand je me lève, j'écoute par exemple la télévision pour écouter les informations. Il y a souvent des chroniqueurs et je vois des personnes de la cybersécurité, du monde des experts de la cybersécurité qui sont là et qui sont interviewés. Alors c'est le matin, mais vous allez avoir lors d'une cyberattaque de grande ampleur, sur le JT du soir, des interviews d'experts qui vont venir et qui vont expliquer quelque chose. Donc on en parle. Je ne vais pas citer la marque. Une marque qui change des pare-brises. Vous savez, dit bien à la fin, il faut taper sur tatatata.fr. Et attention, tapez bien.fr. Vous voyez, c'est une forme de sensibilisation. Donc la cybersécurité est en train de s'emparer du monde et personnel et professionnel et les médias, qu'ils soient télévisés ou comme vous aujourd'hui, ou comme les podcasts, ou comme les miniseries, le travail de Nancy ou d'autres. Le CYF a beaucoup travaillé pour faire des petites choses rigolotes. Ça se démystifie et donc du coup, je pense que les personnes commencent à englober ça.
Etienne E.
Donc il faut vulgariser pour...
Serge Misik
Trans.
Etienne E.
Ok. La menace est maintenant tangible et palpable pour le commun des mortels. Ça aide aussi à faire en sorte que les collaborateurs soient plus impliqués ?
Serge Misik
Oui, complètement. Vous savez, on a nos petites astuces aussi. On a nos campagnes de sensibilisation. qui sont de deux types. On va se faire passer pour un méchant, un cœur, et on va envoyer ces fameux mails de hameçonnage. Alors avant, on les envoyait par gros paquets. Puis on s'est aperçu que ça ne marchait pas parce qu'au bout de deux reçus, les collaborateurs se parlent. Je crois qu'il y a le RSSI qui est en train encore de nous embêter avec ses faux emails. Si tu reçois quelque chose, ne va pas cliquer dessus. Celui-là, il s'appelle Assurance. Ou alors il s'appelle, il vient de la DRH et on te sucre tes congés d'été. Évidemment, ça marche tout le temps très bien. Donc là, on les dilue dans l'année et on fait des groupes que ça passe un peu inaperçu, pour mesurer. Alors, il y a la première chose qui est de voir comment va réagir quand même l'utilisateur. Ce fameux taux de clic, mais ça n'est ni plus ni moins qu'un indicateur pour nous pour savoir vers où il faut porter l'effort. Parce que derrière, ce qui est vraiment intéressant, c'est comment est-ce qu'on va former l'utilisateur. Et aujourd'hui, je suis en plein dedans typiquement puisque je m'intéresse, là j'ai reçu différentes entreprises qui m'ont présenté leurs solutions. Il y en a qui vous proposent encore, hélas, Des gros paquets de modules d'e-learning, vous savez, vous mettez derrière l'écran et vous en avez pour une bonne heure et demie à faire votre e-learning et tant que vous n'avez pas fini, vous ne pouvez pas quitter. Non, on ne fait plus ça aujourd'hui, on fait des vidéos de 4-5 minutes de manière ludique, on fait de l'infographie fixe animée, on utilise tous les médiums possibles, c'est-à-dire l'image, le son, le texte, le quiz pour attirer l'utilisateur et lui faire faire en gros, allez, entre une heure et demie à deux heures de sensibilisation, formation à l'année. C'est quoi une heure de sensibilisation à l'année ? C'est quoi une heure dans une année ? C'est pas grand chose. Avec ça, on est arrivé dans les collectivités à passer d'un taux de clic de 19%, à peu près, selon les contextes, à 2 ou à 6%. Alors attention, un clic est toujours fatal. Ça suffit.
Etienne E.
Oui, mais les probabilités pour que le hacker amoure le mail à la bonne personne, entre guillemets, réduit aussi le risque de pénétration des systèmes.
Serge Misik
Voilà, tout à fait.
Etienne E.
Et se préparer à réduire le risque, ce sont des processus. Et quand on est, et là je parle à nos auditeurs, quand on est une TPE ou une PME, ça peut paraître être un chemin très difficile et complexe. Et c'est justement pour ça que POLD, dont vous faites partie, et Cibia, qui est une initiative qui émane de l'Europe et qui est en partenariat avec le Campus Cyber, tâche de rendre la cybersécurité accessible et ses mesures essentielles de cybersécurité accessible. Est-ce que vous pouvez nous parler de votre contribution à ce projet ? Il me semble que vous y êtes impliqué et que ce projet est d'importance pour vous.
Serge Misik
Pas assez impliqués, mais en tout cas impliqués. On travaille à une implication encore plus importante. Cependant, oui, on travaille avec Cibia. Déjà, pourquoi ? Parce que Paris-Ouest-la-Défense est sur Putot. Le campus cyber, d'après l'ANSI et d'après notre délégué Île-de-France, avec lequel je discute souvent, dit Serge, t'es à 7 minutes et demie du campus cyber. Et l'ANSI a une antenne au 12ème étage. Au campus cyber, j'y suis de temps en temps. Cibia, ils sont au 13ème. Paris-Ouest-La-Défense, on les a accompagnés de différentes manières. Quand ils ont créé le poste de RSSI à Paris-Ouest-La-Défense, ils ont créé finalement l'empreinte cybersécurité. Le DIH Cibia étant dans la cybersécurité, Cibia pour Cyber Security Intelligence Artificielle Hub, d'où Cibia, ils se sont dit, Serge, tu vas nous représenter. En tout cas, le RSSI, aujourd'hui c'est moi, prête le DIH Cibia, donc de ce pôle d'innovation et d'excellence, pour faire monter en maturité la cybersécurité dans le tissu économique des PME, des TPE et des startups. Comment ? Par deux choses. D'abord, on a aidé à recruter un expert en cybersécurité. Donc moi, je les ai aidés à recruter en recevant différents dossiers et en faisant passer des entretiens. Et puis ensuite, aujourd'hui, j'aide cet expert qui est formidable, avec lequel on accroche énormément à construire un catalogue de services basé sur de la technologie ou sur des unités d'œuvre. Quand il faut un pare-feu, on regarde quel type de pare-feu français on va mettre à l'ordre du jour. Qu'est-ce qui fait sens pour une TPE, pour une PME ? Vous ne construisez pas votre feuille de route cybersécurité. Pour une PME, pour une TPE, de la même manière que pour un groupe du CAC 40. Il y a certaines contraintes liées au domaine des petites et moyennes entreprises ou industries qui fait que vous n'arrivez pas avec tout un tas de briques à empiler les unes derrière les autres parce que la PME, elle sera noyée. Donc on les aide, comme ça, moi je leur apporte, ils apportent des noms, on apporte des noms et on construit le catalogue de services technologiques. Et puis également par unité d'œuvre. Qu'est-ce que j'appelle une idée d'oeuvre ? C'est pouvoir avoir des personnes qui vont vous faire une analyse de risque. Ça c'est purement, comme on dit dans notre bon vieux jargon, du jus de cerveau. Alors il faut des compétences derrière, mais c'est pas forcément un outil qui va vous faire l'analyse de risque. C'est un humain qui va passer du temps à interviewer les gens de la PME et en déduire quels sont les 2-3 risques dont la PME, auxquels elle fait face, et qu'il faut qu'elle diminue.
Etienne E.
Oui, on commence toujours par prioriser la première menace et ensuite on avance dans le process et puis on va toucher des risques minimes.
Serge Misik
Exactement. Et aujourd'hui, quand je dis nous essayons de nous réfléchissons à comment les aider davantage, c'est qu'ils sont peu nombreux, Cibia, aujourd'hui et qu'ils ont bien besoin d'aide. Donc en fait, ils s'aident avec des partenaires, des prestataires en cybersécurité qui vont aller voir les bénéficiaires, donc les clients. Donc les PME, les patrons, les gens des PME, les services informatiques s'il y en a, etc. En tout cas, ils vont avoir un certain nombre d'interlocuteurs et d'interviews à faire. Pouvoir avoir mené un questionnaire simplifié et avoir une évaluation de leur maturité de la cybersécurité, on va dire de presque zéro à quelque chose d'intermédiaire, ou de renforcé, ça peut être aussi une belle surprise. d'avoir une PME qui en est déjà à un niveau, on va dire élevé, ça arrive. Aujourd'hui, je pense que les établissements publics territoriaux, elle est là notre réflexion, sont des établissements qui ont un peu plus de monde que les mairies. Polde, ce n'est pas le bon exemple, on est 50. Mais grosso modo, vous prenez un autre établissement, GPSO par exemple, qui est Grand Paris Sud-Ouest, ou GPSEA, Grand Paris Sud-Est Avenir, ils sont beaucoup plus nombreux. Si vous prenez... Le département, le CD92, ou le CD78 ou le CD77, les conseils départementaux, et puis au-dessus la région, il me semble, à mon sens, que ces entités-là ont un rôle à jouer à accorder des ressources humaines et donc du temps, à dégager du temps pour leur personnel qui sont des experts en cybersécurité, parce qu'elles en ont, et leur dire peut-être que si Serge, tu vas voir un client, donc une PME, Tu vas en voir deux dans l'année ou trois dans l'année, et qu'à côté, mon voisin va en voir aussi deux ou trois dans l'année, et que ça s'ajoute, peut-être qu'on va couvrir un peu plus de PME et de PMI sur le territoire de l'Île-de-France. Et peut-être qu'à l'échelle nationale, puisque les EDIH, il n'y a pas que Sibia, on est à peu près une trentaine de DIH en France, un peu moins de 150 en Europe, on va réussir à toucher plus de PME et de PMI comme ça. Il faut vraiment mutualiser.
Etienne E.
Oui, mutualiser les efforts pour au final réussir à toucher. Aujourd'hui, on doit toucher quelques pourcents des TPE, PME. On est, j'ai l'impression, au début d'une démarche, on est au début d'une dynamique pour qu'à terme, pour que dans les 10 ans, etc., tout le monde soit embarqué. dans la cybersécurité et que toutes les entreprises, quelle que soit leur taille, aient mis en place les mesures essentielles.
Serge Misik
Alors, c'est même moins de temps que ça. C'est trois ans. C'est-à-dire que le DIH, il est comme le plan France Relance l'a été il y a quelques temps. Il est là pour vraiment tenter de cranter, c'est-à-dire de faire prendre conscience aux PME et PMI de lancer la machine, si je puis dire. Et ensuite, au bout de trois ans, d'avoir... eu suffisamment de temps pour donner les billes et dresser ce qu'on appelle un schéma directeur ou une feuille de route pour la PME et cranter encore une fois, l'avoir embarqué dans son parcours, dans son aventure cybersécurité qui est encore une fois l'objectif visé, c'est d'être dans un état de sécurité c'est ça la cybersécurité et donc d'ici trois ans, de lui faire prendre conscience que euh... Dans trois ans, le DIH s'arrêtera peut-être, la mission Cibia s'arrêtera peut-être, ou il y aura peut-être une phase 2, on ne sait pas, par la Commission européenne. S'il n'y en a pas, c'est qu'elle soit autonome, la PME. C'est que le tissu économique soit autonome. Vous savez que 99% de notre tissu économique est composé de PME, PMI. Le reste, les 1% qui restent, c'est le CAC 40. Donc aujourd'hui, on a du boulot.
Etienne E.
Une dernière question, parce qu'on arrive presque au terme de cette interview. Quelle est justement cette étape d'après pour une TPE ou une PME, sachant que toutes les TPE et PME ne peuvent pas avoir un DSSI ou un RSSI en interne et donc peuvent se retrouver dans une situation où personne, à part le dirigeant, n'est attaché à la cybersécurité. Quelle serait la solution au final pour qu'il y ait cette solution universelle de cybersécurité ?
Serge Misik
Évidemment, je n'ai pas la réponse exacte. J'espère que la prochaine étape, ce sera déjà de constater que les opportunités qui ont eu lieu via le plan France Relance, celles qui ont eu lieu en ce moment avec le plan France 2030 et l'opportunité donnée par la Commission européenne avec les EDIH, donc les pôles d'excellence et d'innovation dans différents domaines. dont la cybersécurité va permettre vraiment de cranter. Je pense que l'étape d'après, c'est de comprendre comment fonctionnent une PME et une PMI. J'aime bien dire un peu, penser out of the box, vous savez, sortir un peu de la boîte, et se dire, ah oui, la PME, elle ne fonctionne pas comme j'ai l'habitude de faire fonctionner la cybersécurité dans mon grand groupe, ou voilà. C'est de se mettre à leur portée, et d'avoir une myriade, ou en tout cas, des entreprises qui se créent. Quand je dis des entreprises, c'est des entreprises... expertes en cybersécurité et qui développent des catalogues adaptés à une PME ou à une PMI. Vous savez, une PME, c'est pas si compliqué que ça, la cybersécurité dans une PME. Il faut, encore une fois, je vais revenir sur le liste, identifier sa valeur, ses assets, ses actifs. Qu'est-ce qu'il a fait vivre ? Je sais pas, son fichier client, sa position, des brevets. En tout cas, une PME, elle a besoin d'identifier ses actifs. On n'est pas chez un grand groupe. On n'a pas des milliers et des milliers d'actifs. On a quelques-uns. Une collectivité ressemble énormément à une PME, en fait, finalement. Ensuite, on a besoin de la protéger, donc d'adresser le volet protection par deux, trois mesures technologiques. On a besoin de détecter, donc d'adresser le volet détection. Vous avez peut-être entendu parler de ce qu'on appelle les SOC, les Security Operations Center, ces fameux centres de supervision qui monitorent votre activité et essayent de trouver des choses un peu suspensives. paie en récupérant vos... en analysant ce qui se passe sur votre système d'information ou sur vos applications. Elle a besoin d'avoir quelque chose comme ça qui soit managé pour elle. Ça, c'est le volet détection. Elle a besoin à ce qu'on l'aide à mitiger ses vulnérabilités. Et là, je pense que dans la mutualisation, il y a beaucoup à faire parce que vous avez beaucoup de PME qui utilisent les mêmes actifs. Vous allez retrouver, par exemple, l'outil Salesforce à différents endroits, faisant la même chose. Donc, si on arrive... Les PME vont beaucoup dans le cloud maintenant, en mode SaaS. Et donc, du coup, il est facile dès lors de se dire, une fois que j'ai... évaluer les vulnérabilités de tel ou tel logiciel. Si je le corrige pour l'un, je le corrige pour l'autre. Et puis, à la fin, d'adresser sa résilience par des plans de continuité d'activité. C'est-à-dire, moi, qu'est-ce que j'ai pu voir ? Quand je suis arrivé à Pold, j'ai été sollicité pour une petite PME indépendante. On travaille avec eux, pas directement, mais est-ce que ça ne t'ennuie pas de les aider ? Qui venait d'être victime d'une cyberattaque. En mode gros poisson, c'est-à-dire le gros filet jeté à la mer et c'est quelqu'un qui a cliqué. Pas de pot, pas de sauvegarde. Voilà, pas de sauvegarde, 10 ans de travail perdu. Donc aujourd'hui, une PME, si elle prend en considération son travail, qu'elle sauvegarde ses données, qu'elle respecte des règles, ce qu'on appelle du 3-2-1, trois copies sur deux supports différents, dont une externalisée, donc une qui est inaccessible, parce que vos sauvegardes peuvent être également chiffrées. en interne, mais si elle est quelque part ailleurs sur le cloud et qu'elle est recopiée de cloud en cloud français, s'il vous plaît, si possible, en France ou sur des clouds européens, c'est une bonne pratique. Demain, finalement, vous n'avez pas besoin de payer la rançon puisque vous récupérez vos données. Vous n'avez pas besoin de les récupérer. Ce qu'il faut, par contre, c'est les chiffrer.
Etienne E.
Pour éviter le leak, le fameux Krypton leak.
Serge Misik
J'ai crypté. Je m'en moque. Je les aime, mes données. Elles sont sauvegardées. Et leak, vous allez faire fuiter des données chiffrées qui seront illisibles. Oui,
Etienne E.
le risque réputé. En fait, on a écarté d'abord le risque économique et le risque réputationnel dans la deuxième vague.
Serge Misik
Absolument, absolument. Et sur le fameux guide d'hygiène de l'ENSI qui comporte 42 bonnes mesures, finalement, on n'est pas obligé de prendre les 42 pour une PME. Peut-être qu'une dizaine suffit. Et il faut comprendre ça. Ce n'est pas si compliqué. de protéger des PME et des PMI. Ce qu'il faut, c'est aller convaincre et d'avoir le bon catalogue de services. Et c'est ce qu'on essaye de faire avec le DIH. Cibia, c'est de construire un catalogue en adéquation avec les besoins des PME et des PMI et des TPE.
Etienne E.
C'est parfaitement clair. Merci beaucoup Serge. Est-ce que pour terminer cette interview, vous avez envie d'adresser un message aux auditeurs justement en matière d'hygiène, puisque on est tous... Des travailleurs, mais on est tous avant tout des citoyens et des humains. Donc, est-ce que vous avez un message à passer d'hygiène numérique, de cybersécurité ?
Serge Misik
J'ai deux citations que j'aime beaucoup. Je suis quelqu'un qui aime bien lire. La première est d'un auteur américain qui s'appelle Stephen Covey. Elle est en anglais, mais vous la comprendrez facilement. C'est To know and not to do is really not to know Donc, connaître mais ne pas faire et vraiment ne pas connaître. La menace. Mais est-ce que... Vous voyez le sens ? Donc en fait, il faut s'approprier. Il ne faut pas se masquer. Vous savez, on parle souvent du black swan. Mais il y a dans la ménagerie des animaux à risque, il y a également le black elephant. Je ne sais pas si vous connaissez.
Etienne E.
Absolument pas.
Serge Misik
Il y en a quatre. On reviendra en saison 2.
Etienne E.
Avec grand plaisir.
Serge Misik
Si vous le souhaitez, pour parler de la ménagerie des animaux à risque. Mais le black elephant est l'éléphant qui est au milieu de la pièce. Dont on... connaît, on sait ce que ça va produire, on connaît la conséquence et on connaît l'impact. Mais on l'ignore, on a décidé de l'ignorer. Bon bah je vous dis pas ce qui peut arriver par la suite quoi. Voilà. Donc cette citation est là pour se rappeler que les Black Swan ça arrive, c'est-à-dire l'inconnu on savait pas et on connaissait pas l'impact, c'est ça un Black Swan ? Je vous expliquerai les deux autres, qui est le Jelly, le Black Jellyfish et le Grey Rhino une autre fois. Mais voilà, c'est en tout cas... être bien conscient que la menace est là et qu'elle ne va pas s'arrêter. Et la deuxième citation que j'aime beaucoup, c'est évidemment celle qui est très connue, elle est du philosophe chinois Lao Tzu. A journey of a thousand miles begins with a single step. Donc, pour dire que la cybersécurité, c'est vraiment un voyage qui commence un jour et qui s'adresse pas à pas. Il faut penser global, mais il faut agir local.
Etienne E.
Merveilleux. Merci pour votre disponibilité et tous ces précieux conseils.
Serge Misik
Merci à vous.
Etienne E.
A bientôt.
Serge Misik
A bientôt.
Etienne E.
Serge Mizik nous le rappelle, la menace est bien réelle et ses conséquences déjà bien connues. Quel que soit votre métier, il est indispensable de vous préparer à une attaque, car tôt ou tard, tout le monde finit par être pris dans les filets des cybercriminels. Si vous êtes une collectivité d'Île-de-France, à la tête d'une entreprise ou un acteur de l'économie sociale et solidaire, rendez-vous sur notre site sybih.eu. En attendant, n'hésitez pas à vous abonner à ce podcast sur votre plateforme d'écoute préférée. à commenter, noter ce podcast. Vos retours nous sont précieux. Également, nous suivre sur LinkedIn at Sybia, C-Y-B-I-A-H. À très vite.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Safe & Sound

Pourquoi écouter "Safe & Sound" ?

La cybersécurité simplifiée : Découvrez des conseils simples et pratiques pour protéger vos données et sécuriser vos systèmes, adaptés aux novices comme aux experts.
Des experts de renom : Écoutez des leaders de la cybersécurité partager leurs expériences et leurs stratégies pour contrer les cybermenaces.
Des échanges pédagogiques : Plongez dans des conversations captivantes et éducatives, démystifiant des sujets complexes pour renforcer votre culture cyber.

Programmation :

Épisode 1 : État des lieux de la cybersécurité avec Yann Bonnet, Directeur Général Délégué du Campus Cyber et membre du groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne.
Épisode 2 : La préparation pour les JO 2024 avec Fabrice Billot, chef de la brigade de lutte contre la cybercriminalité (BL2C).
Épisode 3 : Les missions d’un RSSI avec Serge Misik, RSSI de Paris Ouest La Défense (POLD).
Épisode 4 : La sensibilisation et l’assistance aux victimes avec Jérôme Notin, Directeur Général de Cybermalveillance.gouv.fr.
Épisode 5 : L’importance de la cybersécurité dans la santé avec Antoine Tesnière, Directeur Général de PariSanté Campus et professeur d’anesthésie-réanimation.
Épisode 6 : L’organisation et l’évolution de la cybersécurité avec Emmanuel Naëgelen, Directeur adjoint de l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Presse :

Lire le communiqué

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed