Comme chaque année, les professionnels de la cybersécurité se sont retrouvés, du 08 au 11 octobre à Monaco, pour 4 jours d’échanges et de présentations de leurs nouveautés par les éditeurs et par les sociétés de services en sécurité des systèmes d’information.
Que retenir de cette édition 2024 ?
Traditionnellement la venue à Monaco est une parenthèse enchantée, avant l’entrée progressive dans l’hiver et la période de préparation budgétaire de l’année suivante, pour les DSI, RSSI et autres managers du secteur, qu’ils exercent dans le Privé ou dans le Public.
Cette année, comme un peu partout en France, la pluie a essayé de gâcher l’ambiance mais n’y est parvenu que le mardi et le mercredi, le soleil étant revenu dès le jeudi, à la grande satisfaction des organisateurs, des 178 partenaires et de leurs 1500 invités.
Les organisateurs mettent en avant sur leur site web les nombreux journalistes invités à couvrir l’événement, sans doute une façon de se différencier d’autres manifestations du secteur de la Cyber fermées à la Presse…
Mais alors deux remarques :
Cette année, 85 partenaires sur 178 (soit près de 50%) avaient décidé de fermer leurs ateliers à la Presse. Pourquoi ? Si certains journalistes ne sont pas capables de respecter la « règle de Chatham House » **, on ne les invite pas. Sinon l’organisateur se doit de préciser clairement cette règle pour éviter tout malentendu et éventuellement faire signer un engagement aux journalistes à respecter cette règle. Mais fermer les ateliers à la Presse, c’est transformer les Assises en un de ces nombreux salons sans intérêt qui ont vu le jour depuis 4 ans dans le secteur.
A moins qu’après avoir bénéficié des couvertures de la Presse dans les années où les Assises de la Cybersécurité en avaient bien besoin, les organisateurs n’aient décidé de maintenant pouvoir s’en passer? C’est une question légitime lorsqu’on voit fondre l’espace Presse, qui est devenu un enclos réduit pour une tribu à peine tolérée…
L’ouverture des Assises par Vincent Strubel, directeur général de l’ANSSI
Près de 2 ans après avoir pris la suite de Guillaume Poupard, comme DG de l’ANSSI***, Vincent Strubel a fendu l’armure pour faire une présentation claire de la situation de la Cyber en France pouvant emporter l’adhésion de toute la communauté.
Bien sûr, nous avons eu droit au satisfecit des JO de Paris 2024 : « Face aux menaces géopolitiques et structurelles auxquelles nous pouvions être confrontées, la France à initié plusieurs années de préparation pour que les JO se passent sans menaces cyber…» a t-il expliqué. Et d’ajouter « la France a fait face à toutes les menaces pendant les JO et les attaques ont été bloquées très tôt. »
Il s’est félicité de « l’accompagnement de 500 entités pendant la période des JO, dont des PME et des TPE, pour que tout le monde puisse faire face à d’éventuelles attaques ».
Le résultat est brillant puisque la période des JO s’est déroulée sans incident de cybersécurité notable.
Peut-on faire un parallèle avec « la sécurité des biens et la protection des populations » pour lesquelles aucun incident notable n’a été non plus relevé pendant la « parenthèse enchantée des JO » ?
Pourquoi ? Parce qu’ont été multipliées les zones d’exclusion, le déplacement vers la Province de groupes d’individus et le sur-renforcement d’effectifs de police et de gendarmerie pour assurer une sécurité totale.
Moralité : lorsque sont mobilisés les moyens nécessaires et suffisants, la Menace est moindre et elle est contenue. C’est valable dans la vraie vie comme dans la vie numérique….
Vincent Strubel a naturellement évoqué les questions de la suite : NIS2, CRA, etc.
NIS2 : il a rappelé que la date du 17/10/24 n’était qu’un repère et qu’il n’y aurait aucune sanction tant que la loi de transposition de cette directive européenne en droit français n’aurait pas été votée par un Parlement qui semble avoir d’autres préoccupations en ce moment… « Le travail législatif va donc reprendre sans précipitation mais sans concession » a-t-il dit, avec pour objectifs : l’enregistrement en ligne sur le site de l’ANSSI des informations demandées par NIS2 et la déclaration en ligne des incidents vécus.
Vincent Strubel a rappelé que « l’hygiène informatique est vraiment nécessaire pour toutes les entités et que les éditeurs doivent adapter leurs messages à cette nécessité ».
CRA (Cyber Resilience Act) : le CRA est un projet de règlement européen ayant pour objectif de définir des règles de cybersécurité minimum pour les produits composés d’un ou plusieurs éléments numériques et vendus sur le marché de l’UE. Le CRA visera à sécuriser les produits numériques utilisés dans l’UE par les entreprises et le grand public, alors que NIS 2 a pour objectif de sécuriser les moyens de production des entreprises et administrations de l’UE. Il est donc complémentaire de la directive NIS2. Sont concernés entre autres les produits connectés qui doivent respecter des exigences de sécurité et les bonnes pratiques de leur cycle de vie.
Enfin, Vincent Strubel a initié les sujets qu’il faudra aborder dans les mois qui viennent : la sécurité dans le Cloud, la rationalisation du débat sur l’Intelligence Artificielle (IA) et l’ordinateur quantique (avenir ou fantasme ?)…
Le village des Start-up
Le village ses Start-up met en lumière les jeunes sociétés les plus innovantes de la cybersécurité.
Cette année nous y avons rencontré la société CYBI
CYBI
Cette start-up présentait des solutions innovantes de cybersécurité basées sur l'intelligence artificielle (AI) et l'apprentissage automatique (machine learning).
CYBI s’adresse aux infrastructures critiques et à leurs systèmes d’information, autrement dit aux systèmes informatiques des OIV et OSE qui présentent une complexité, une mobilité et un nombre croissants :
Tous les appareils connectés contiennent un ou des logiciels qui peuvent présenter des faiblesses ou des vulnérabilités.
Il y a 160 nouvelles vulnérabilités qui apparaissent chaque jour : 5000 par mois qui sont utilisées par les attaquants !
Avec des chemins d’attaques à plusieurs niveaux : ransomware, exfiltration de données, espionnage industriel, sabotage…
Face à ce périmètre de vulnérabilités exponentiel, les CISOs (Chief Information Security Officer) n’ont pas assez de ressources humaines à leur disposition pour prioriser correctement les vulnérabilités les plus dangereuses pour leurs systèmes informatisés.
CYBI présentait sa solution : « Scuba – Le GPS des chemins d’attaques informatiques ».
Scuba utilise des algorithmes complexes (IA + machine learning) pour reproduire des chemins d’attaque possible et proposer automatiquement des barrières pour les bloquer.
Cette solution de nouvelle génération est basée sur l’audit et l’analyse de risques pour produire des tableaux de bord complets des vulnérabilités de l’organisation.
En un an de commercialisation de Scuba, la société CYBI a déjà des clients de référence tels que l’Institut de sûreté nucléaire (IRSN ou la Protection Civile.
Pour plus d’information : https://www.cybi.fr et contact à : sales@cybi.fr
SNOWPACK : Prix de l’Innovation des Assises de la Cybersécurité 2024
Snowpack est une startup de cybersécurité Européenne de 16 personnes, spin-off du CEA, le plus grand centre français de recherche appliquée, et créée en 2021 par Frédéric Laurent, Sébastien Groyer et Baptiste Polvé.
Snowpack a remporté le Prix de l’Innovation 2024 grâce à sa technologie inédite d'invisibilité sur Internet, un protocole d’anonymisation et de masquage des actifs numériques, du trafic et des données.
L’objectif : rendre les données et les systèmes d’information invisibles aux hackers.
La technologie de Snowpack permet de se prémunir de nombreuses attaques réseaux, telles que la surveillance et l’interception des communications, le scan externe du système d’information et l’exploitation des vulnérabilités des composants ou services exposés sur Internet.
Cette technologie réduit considérablement la surface d’attaque externe des systèmes d’information, en la rendant invisible, sauf pour les seuls utilisateurs ayant droit d’y accéder, et agit en pratique comme une couche d’indépendance entre l'infrastructure et les données.
Snowpack offre une triple protection : des individus, des services et des composants des systèmes d'information.
Elle permet ainsi de répondre à de très nombreux cas d’usages induits par le contexte réglementaire par exemple, mais aussi par celui de la sécurisation de la supply chain ou par l’exposition de plus en plus importante de la surface d’attaque de toutes les organisations quelles qu’elles soient.
La solution est tarifée en fonction du nombre d’utilisateurs, mais une offre gratuite est disponible pour permettre aux particuliers de tester cette technologie innovante.
Rendez-vous pour Les Assises 2025* : du 08 au 11 octobre 2025 à Monaco
* https://www.lesassisesdelacybersecurite.com
**Lorsqu'une réunion se déroule conformément à la règle de Chatham House, les participants sont libres d'utiliser les informations reçues, mais ni l'identité ni l'affiliation du ou des intervenants, ni celle de tout autre participant, ne peuvent être révélées.
