Cette interview a été réalisée par Alain Establier lors des dernières Assises de la Cybersécurité
SDBR News : Pourquoi avoir fondé le Cabinet XMCO ?
Marc Behar : J’ai fondé le cabinet XMCO* le 13 novembre 2002, il y a 22 ans, alors que je n’avais pas 30 ans. Est-ce l’insouciance, l’inconscience ou le courage qui m’ont guidé à l’époque ? C’est difficile à dire. J’avais été auparavant un très mauvais salarié, car je considérais déjà que ce qui était le plus important était de prendre en compte les clients, alors que j’ai travaillé dans des entités de services informatiques et chez des petits intégrateurs où on n’avait pas compris cela. A l’époque, il était courant de constater que les clients partaient au bout de deux ans, le temps qu’ils se rendent compte que les commerciaux de ces entités leur avaient raconté n’importe quoi. Ils partaient donc ailleurs et le schéma bien souvent recommençait. C’est là où j’ai décidé de créer une entreprise que les clients ne quitteraient pas systématiquement au bout de deux ans…
SDBR News : Et c’est ce qui s’est passé ?
Marc Behar : Ici, aux Assises de la Cybersécurité, vous pourrez rencontrer certains de nos clients qui sont chez XMCO depuis 2002 ou 2004. Sur notre stand, nous parlons aux prospects de vivre une expérience avec nous et pas seulement de répondre à un besoin qu’ils ont. Prenons l’exemple du secteur automobile: tous les constructeurs ont pratiquement les mêmes produits dans des gammes comparables ; ce qui fait la différence c’est l’expérience autour de la marque et du Service proposé par le constructeur. C’est ce qui nous différencie de nos concurrents. Nous avons l’ambition d’être le plus gros des petits dans ce secteur d’activité et de rendre nos 115 collaborateurs épanouis dans leur travail.
SDBR News : Concrètement, quelle est votre spécificité?
Marc Behar : XMCO est un cabinet d’expertise en cybersécurité. Nous accompagnons nos clients dans l’anticipation, la détection et la réaction face aux cybermenaces. Nous ne préconisons pas de produits, mais nous pouvons tester chez le client la pertinence d’un outil dans le cadre de nos pentests. Nous pouvons indiquer quel type de solution pourrait répondre au besoin d’un client, à condition qu’elle soit bien paramétrée et bien utilisée, mais cela se fait dans le cadre d’un audit et des recommandations que nous pouvons être amenés à formuler. Nous ne faisons pas de régie. Nous intervenons dans le cadre de projets facturés en jours/hommes. Les services managés que nous proposons relèvent d’abonnements annuels. Notre développement commercial se fait dans l’Hexagone, mais dans la mesure où certains clients peuvent avoir des filiales à l’Étranger, il nous arrive d’intervenir hors de nos frontières.
SDBR News : Aidez-vous vos clients à la mise en place des obligations NIS2* et Dora?
Marc Behar : Nous intervenons surtout sur la partie Audit, sur la fourniture de la veille, le renseignement sur la Menace et l’analyse des vulnérabilités chez les tiers (les partenaires stratégiques pour une entreprise): par exemple par des tests d’intrusion.
SDBR News : Tout le monde parle de tests d’intrusion, non ?
Marc Behar: Le test d’intrusion comprend une partie technique qui correspond à un savoir-faire et nous sommes loin d’être les seuls sur le marché à pouvoir le pratiquer. Autour du test d’intrusion, il y a d’autres savoir-faire qui vont au delà : de la technique, la compréhension d’un contexte client, la compréhension de l’enjeu et la façon de le restituer, des savoir-faire de type « Red Team », etc. A la fin, il y a un rapport qui doit montrer au client le travail fourni, la valeur ajoutée de ce travail et l’objectif d’amélioration envisageable. Il y a moins d’acteurs qui savent délivrer un produit fini de cette qualité…
SDBR News : Précisément, quelles sont les offres du cabinet XMCO ?
Marc Behar : XMCO est qualifié PASSI par l’ANSSI sur les 5 portées : audit d’architecture, audit organisationnel et physique, tests d’intrusion, audit de configuration et audit de code. Nous sommes aussi qualifiés par le Conseil des normes de sécurité PCI pour valider l’adhésion d’une entité à la norme PCI DSS. Et le CERT-XMCO est un CERT officiel, accrédité par la TF-CSIRT et organisé pour réagir en cas d’incident informatique
Nous avons 6 offres de services managés :
Yuno : veille cyber personnalisée et associée à un niveau de criticité.
Phisherman : sensibilisation et tests des collaborateurs face aux campagnes d’hameçonnage.
Serenity : contrôle d’exposition sur Internet en continu grâce à la Cyber Threat Intelligence.
Iambuster : évaluation de la sécurité des infrastructures de « l’Active Directory ».
Evidence : portail d’auto-certification PCI DSS.
Scanly : scan de vulnérablités managés.
Il faut y rajouter les offres d’audits de cybersécurité, de tests d’intrusion, de Red Team et de formations des collaborateurs.
SDBR News : Pouvez-vous nous parler de vos partenariats avec le CERT Aviation et avec le CERT Défense ?
Marc Behar : C’est Aurélie Grellier qui a développé pour XMCO un partenariat avec le CSIRT Aviation et avec le CSIRT Défense, pour élargir notre visibilité dans des secteurs où nous avons déjà des clients de longue date. Les partenariats avec ces CSIRT*** nous permettent d’avoir une dimension territoriale et métier accrue : notamment sur la threat intelligence et la connaissance de la Menace. Il s’agit de comprendre et d’analyser les techniques et procédures utilisées par les groupes d’attaquants, sur ces secteurs particuliers que sont l’Aviation et la Défense, pour en faire bénéficier les membres du CERT. Nous sommes donc présents en région toulousaine, où sont présentes beaucoup d’entreprises du secteur de l’Aviation, et en région rennaise où résident plusieurs fournisseurs de la Défense.
SDBR News : Quelles actions menez-vous auprès du CSIRT Défense ?
Marc Behar : Avec le CSIRT Défense, nous travaillons à la sensibilisation des PMI/PME de la supply chain qui peuvent avoir un impact important sur les acteurs de niveau 1 : prévention des vulnérabilités par la transmission d’information sur les menaces au ministère de la Défense, qui les relaie auprès des acteurs de la BITD.
**La directive européenne NIS 2 (sécurité des réseaux et des systèmes d'Information) vise à renforcer le niveau de cybersécurité des tissus économique et administratif des pays membres de l'UE. Le règlement européen DORA (acronyme de « Digital Operational Resilience Act) vise spécifiquement à assurer l'intégrité et la disponibilité du secteur financier.
***les CSIRT territoriaux (Computer Security Incident Response Team) sont des centres de réponse aux incidents cybers au plus près des entités implantées sur leurs territoires.
