Comme chaque année, début octobre, se tenait Les Assises de la Cybersécurité à Monaco. Cet événement, qui rassemblait les professionnels de la cybersécurité, était aussi l’occasion d’échanger autour de sujets techniques, légaux, organisationnels et de partager les expériences de chacun lors de tables rondes. Une table ronde sur les audits Red Team a particulièrement retenu l’attention d’Akerva.
Frank Van Caenegem, VP Cybersecurity, CISO EMEA, Schneider Electric | Board member, CESIN
Brice Augras, Président-fondateur, BZHunt
Victor Poucheret, Directeur Technique Associé, BZHunt
Amaury Pitrou, Co-fondateur & Directeur Général Smalt – Bouygues Construction
Lors de cette table ronde, les intervenants ont cherché dans un premier temps à identifier expliquer les différents problèmes de sécurité physique souvent rencontrés en entreprise. Un constat partagé par toutes les Red Team est qu’il est toujours possible de rentrer dans un bâtiment sans badge et que l’on ouvre parfois même la porte sans rien demander. Et une fois à l’intérieur d’un bâtiment, une remote key branchée derrière un écran ou un keylogger permet bien souvent d’infiltrer le réseau de l’entreprise bien plus facilement qu’à distance. Les failles de sécurité physique sont aussi bien humaines (social engineering, manipulation) que matérielles. En effet la plupart des équipements, sont soit trop vieux (les échelles de temps de renouvellement sont en général de l’ordre de quelques dizaines d’années), soit non conçus pour être sécurisés ou configurés de manière trop laxiste volontairement. Et lorsque d’une part, la difficulté de louer des bâtiments provoque la multiplication des équipements IoT pour leur conférer une valeur d’usage et d’autre part les sous-traitants ne sont pas formés aux problématiques de cybersécurité, et laissent par exemple la plupart des mots de passe standard, ainsi que de nombreux accès libres… On comprend comment un casino américain a pu être hacké grâce au thermomètre d’un aquarium à requins, ou comment une équipe Red Team a pu pénétrer une centrale électrique aux Etats-Unis.
Ces intrusions, bien que très impressionnantes, ne font que très peu l’objet d’une couverture médiatique, notamment car ces attaques ne sont pas déclarées au public. Une occasion ratée de sensibiliser sur ce sujet donc, mais l’objectif de la table ronde n’était pas seulement de constater mais aussi de donner des pistes pour résoudre ces failles.
Alors que l’approche Security by design s’applique aujourd’hui dans de nombreux domaines, ce n’est pas encore le cas pour les bâtiments. Cela permettrait de concevoir les bâtiments tout en prenant en compte ces problématiques de sécurité. Et même si le bâtiment est déjà construit, le Security by design est toujours applicable pour les équipements installés. En ce qui concerne le choix de ces équipements notamment les caméras et capteurs, il coûte souvent moins cher d’acheter de basse qualité, ou d’effectuer des achats groupés afin d’avoir des équipements supplémentaires dans le cas où il faudrait en remplacer. Cependant, les technologies évoluant rapidement, les équipements obsolètes deviennent rapidement de nouvelles vulnérabilités. Et quels que soient les équipements, il faut adopter une approche 0 trust, et ne pas reposer sur du « 100% digital », donc toujours avoir des mécanismes de PRA avec des commandes manuelles. En termes d’accompagnement, les analyses de risques Ebios, ainsi que des Red Teams vont rapidement s’imposer dans le bâtiment. Le point le plus important soulevé par les intervenants est le lien important entre Sécurité Physique et SSI. La sécurité physique doit expliquer ses problématiques à la SSI, et la SSI doit aller chercher les problèmes de la sécurité physique.
Et vous ? Êtes-vous prêts à challenger la sécurité physique de votre entreprise ?
Vous souhaitez savoir si notre Red Team peut pénétrer vos locaux…
Voici maintenant un an que le règlement DORA (The Digital Operational Resilience Act [1]) est […]
EN SAVOIR PLUS
Voici un an maintenant, que le règlement DORA (The Digital Operational Resilience Act[1] est entré […]
EN SAVOIR PLUS
Akerva participe au Forum InCyber 2024 ! Toute notre équipe sera présente au Forum […]
EN SAVOIR PLUS
Le sujet controversé revient régulièrement sur la table, et oppose les partisans d’une négociation avec […]
EN SAVOIR PLUS
Comme chaque année, début octobre, se tenait Les Assises de la Cybersécurité à Monaco. Cet […]
EN SAVOIR PLUS![[ PRESSE ] : 17 points essentiels pour sécuriser vos infrastructures informatiques sensibles exposées sur internet](https://akerva.com/wp-content/uploads/2020/04/Logo-GLOBALSECURITYMAG_.png){kind=logo}
Pourquoi se faire certifier ISO 27001 pour une entreprise ? Paru dans Global Security Mag, […]
EN SAVOIR PLUS
L’Organisation Internationale de Normalisation (ISO) a récemment publié les statistiques du nombre de certifications obtenues […]
EN SAVOIR PLUS
Aujourd’hui, un des vecteurs d’attaque majeurs est l’ingénierie sociale, qui consiste à manipuler les utilisateurs, […]
EN SAVOIR PLUS
Cybersecurity Made in Europe, un label conçu pour favoriser la compétitivité de l’écosystème européen de […]
EN SAVOIR PLUS
La migration vers le cloud qui augmente de 24,5%. Cette actualité va imposer un changement […]
EN SAVOIR PLUS