Bonjour Thomas, pourriez-vous nous parler de votre parcours en tant que CEO et co-fondateur dans le domaine de la cybersécurité?
J'étais passionné par la cybersécurité très jeune. J'ai beaucoup appris avec des supports papiers (lire des livres assis par terre à La Fnac ou acheter les journaux et hors-séries de The Hackademy) et plus tard sur des serveurs IRC (ancêtre de Slack ou Discord).
J'ai pris un coup de vieux en écrivant ces lignes.
Après avoir été freelance puis co-fondé une société de conseil et développement, j'ai décidé de retourner à mes premiers amours et créer Arsen pour contribuer à mieux protéger les entreprises des attaques par ingénierie sociale qui reste un des problèmes majeurs, non résolu en cybersécurité.
Nous éditons des solutions qui permettent de mieux protéger les collaborateurs contre le phishing et ses variations (par téléphone, message texte, etc.). C'est aujourd'hui le moyen le plus populaire et efficace qu'utilisent les cybercrimines pour initier une cyberattaque.
Comment évaluez-vous l'impact des simulations d'attaque par ingénierie sociale sur la gestion des risques humains en cybersécurité?
C'est un sujet passionnant mais très complexe.
La réponse "simple" est de faire des simulations d'attaque les plus réalistes possibles et observer l'évolution des comportements (clics, signalements, etc.).
Si on creuse un peu, faire des tests réalistes à large échelle est compliqué. Un attaquant tente rarement de manipuler l'intégralité d'une société mais de notre côté, nous nous devons d'entraîner chaque personne. On doit donc travailler autour de contraintes que l'attaquant n'a pas, allant de la diversité des scénarios à la collecte de données pertinentes tout en préservant le réalisme de l'attaque.
Une erreur fréquente par exemple est de comparer des "taux de clics", sans prendre en compte des variables extrêmement importantes comme la difficulté, l'unicité du prétexte utilisé pour manipuler le collaborateur, l'heure d'envoi et les spécificités de la population cible.
Par exemple, il est très facile de démontrer une baisse du taux de clic sur un email de phishing si on effectue des simulations de plus en plus simples ou pire, toujours les mêmes. En revanche, cela ne se traduira pas dans la réalité par une amélioration tangible des comportements face à une véritable attaque.
Les comportements humains sont divers et variés, et modéliser des études précises, prenant en compte toutes les variables est extrêmement compliqué. Tout n'est pas perdu : on améliore chaque année notre modélisation en prenant en compte des facteurs allant de la sensibilité à certaines techniques de manipulation, en analysant des temps de réaction en fonction de prétextes, ou encore en générant des scénarios unique à la volée grâce à de nouvelles technologies comme l'IA générative par exemple.
Cela nous permet de déduire des scores de sécurité, que l'on utilise comme indicateur de performance à optimiser.
C'est aujourd'hui notre meilleure méthode d'évaluation d'impact.
En tant qu'influenceur dans le domaine, pensez-vous que les CEO comprennent pleinement leur rôle et leur responsabilité en matière de cybersécurité?
Je partage avant tout nos recherches et découvertes ainsi que l'actualité effervescente des attaques par ingénierie sociales. Certains de ces partages ont obtenu beaucoup de visibilité, mais je ne m'estime pas influenceur pour autant, mon rôle est avant tout de faire en sorte que notre plateforme aide le plus grand nombre d'entreprises et par extension, de personnes.
Je pense que les CEO ont déjà beaucoup de responsabilités et la cybersécurité — bien que passionnante — reste une fonction support. Vitale, mais parmi beaucoup d'autres missions qui incombent les dirigeants d'entreprise.
Les CEO sont conscients que le succès de leur entreprise est de leur responsabilité et qu'un manquement important côté cybersécurité est un risque majeur avec des implications périlleuses : pertes financières, perte de confiance, impact réputationnel, sanctions légales...
Ceci étant dit, les sujets RH, réglementaires, opérationnels, de vente complexe sont tout aussi important pour a survie de l'entreprise. En fonction de la taille et le schéma organisationnel de l'entreprise, ces sujets peuvent prendre le pas sur la cybersécurité.
En revanche, un élément qui est souvent négligé est l'exemplarité du CEO : de par son influence, c'est le rôle le mieux placé pour motiver ou décourager les bons comportements et c'est une carte qui est trop peu jouée pour la création d'une culture de cybersécurité.
Quelles sont les principales leçons que vous avez apprises en intégrant des solutions de gestion de la cybersécurité dans votre entreprise?
Difficile à dire mais je dirai que si je prends un point de vue utilisateur final, j'ai 3 remarques qui guident d'ailleurs nos choix dans nos propres développement d'Arsen.
Premièrement, il y a énormément de solutions, énormément promesses, des catégories et des acronymes toujours plus complexes, ce qui entraîne une forme de paralysie dans les choix de déploiement.
Deuxièmement, l'expérience utilisateur, la facilité d'utilisation et de configuration des solutions est inégale d'une solution à l'autre. Bien que cela semble relever de l'esthétique à première vue, une bonne expérience utilisateur entraîne une meilleure adoption et donc une meilleure sécurité in fine. Je pense que c'est quelque chose qui est encore trop négligé par les éditeurs et dont les utilisateurs finaux souffrent.
Enfin, toute solution doit être adoptée et toute adoption doit passer par une conduite du changement et cette partie est là aussi trop souvent oubliée par les éditeurs de solution et l'accompagnement qu'ils prodiguent.
En somme, malgré d'important progrès, les solutions de gestion de la cybersécurité restent dans de nombreux cas, de leur choix à leur utilisation intimidantes.
Comment percevez-vous l'évolution des cybermenaces et quels conseils donneriez-vous aux CEO pour anticiper ces changements?
L'évolution des menaces est rapide, mutante et difficilement prédictible. Mon conseil est de se faire accompagner par des spécialistes et des solutions dédiées, adaptées à la taille et au profil de risque de l'entreprise.
Vouloir adresser le sujet soit même est une erreur étant donnée la spécialisation des attaquants et la surface d'attaque exploitable — c'est à dire l'ensemble des éléments que l'attaquant peut exploiter pour mener une cyberattaque sur l'entreprise.
Pour les dirigeants qui débutent dans la gestion de la technologie et de la cybersécurité, quelles seraient les trois étapes essentielles à suivre selon vous?
1/ Se faire accompagner. Le périmètre est tellement vaste, les solutions tellement nombreuses qu'il est extrêmement difficile d'y voir clair lorsqu'on n'est pas expert (et même parfois en l'étant). Il existe de nombreux consultants qui seront capables de faire des diagnostics et recommendations appropriées en fonction de ceux-ci.
2/ Assurer ses bases : se référer au guide d'hygiène cyber de l'ANSSI par exemple. Les grands principes de base vont tourner autour d'une bonne stratégie d'identification (allant des politiques de mots de passe à l'identification multi-factorielle), de mises à jour (pour appliquer les patchs de sécurité des différents éditeurs de logiciels qui sont utilisés) et surtout une bonne stratégie de sauvegarde pour pouvoir minimiser la perte de données mais également le temps nécessaire à la remise en service en cas d'attaque.
3/ Insuffler une culture de la cybersécurité "par le haut". Il est très difficile de demander à ses employés de verrouiller leur session quand ils font une pause si le dirigeant laisse la sienne ouverte aux yeux de tous. Rien de tel que l'exemple pour insuffler une meilleure culture cyber. Autre exemple, le "croissantage" — annoncer sur la messagerie interne, via un poste sans surveillance, que l'utilisateur ramène les croissants à tout le monde le lendemain matin — est un moyen simple et amusant de rendre les utilisateurs plus vigilants. Pour les plus avancés, des solutions comme la notre permettent des mises en situation beaucoup plus avancées face à des attaques qui ciblent les collaborateurs.
Dans un monde en constante évolution technologique, comment envisagez-vous l'avenir de la cybersécurité pour les entreprises dirigées par des CEO comme vous?
La cybersécurité, avec d'une part des menaces et de l'autre des protections est vouée à évoluer.
Je pense que le plus important est donc de se faire accompagner par des experts pour assurer ce travail de veille et de mettre en place des systèmes largement automatisés plutôt que des prestations ponctuelles.
Une routine automatisée de sauvegarde et de mise à jour permettra de faire face à l'évolution de menaces plus efficacement qu'un audit et une intervention de remédiation annuelle, tout en préservant le temps et les priorités du dirigeant.
Pour plus d'informations : https://arsen.co/en
-large-teaser.webp)
