La cybersécurité et les châteaux ont plus en commun que vous ne le pensez. Seulement, ce qui offrait une protection autrefois ne fonctionne plus aujourd’hui.
Un château est construit pour garder tout ce qui est précieux derrière d’épais murs et des douves. Quiconque parvient à entrer a gagné. Ce n’est pas un hasard si VanRoey organise sa Cybersecurity Day précisément au château d’Ordingen à Saint-Trond. Cette même logique de château imprègne toute la sécurité informatique depuis des décennies. Érigez un mur autour de votre réseau et gardez les attaquants à l’extérieur.
Aujourd’hui, cette image ne correspond plus à la réalité. Vos données sont dans le cloud, vos collaborateurs travaillent à domicile ou dans le train, et vos applications tournent partout sauf derrière ces murs. Le château est vide – et pourtant, de nombreuses organisations continuent de surveiller précisément ces murs vides. C’est, en une image, le fil conducteur d’une journée riche en récits de tests d’intrusion, en zero trust, en sécurité des terminaux et en une conférence sur le cerveau humain.
Le responsable marketing Tom Hufkens pose immédiatement la comparaison sur la table et demande à chaque intervenant de s’en inspirer. « Un mur de château protège tout ce qui est précieux, et la cybersécurité aussi, bien entendu. Seulement, le défi aujourd’hui est que votre organisation ne se limite plus à l’intérieur des murs sécurisés du château. »
Un paysage de menaces intensifié
Frédéric Michils, responsable des ventes et du marketing, esquisse d’abord le contexte général. L’IA, la numérisation et un paysage de menaces intensifié obligent les entreprises à prendre la sécurité au sérieux.
« Vous pouvez nier l’existence de l’IA, mais vous serez alors vraiment à la traîne. Ou bien vous l’adoptez et vous vous assurez de pouvoir travailler plus efficacement », déclare Michils. Selon lui, le rôle du touche-à-tout classique est révolu. « Autrefois, certaines entreprises avaient un seul informaticien qui connaissait un peu de tout. Aujourd’hui, trouver quelqu’un qui maîtrise réellement tout n’existe plus. »
La parole est ensuite donnée à Youssef Bey de Cresco, qui réalise des tests d’intrusion et du piratage éthique en tant que partenaire neutre. Il expose ainsi les failles que VanRoey peut ensuite traiter. « VanRoey ne va pas juger sa propre viande », plaisante-t-il à propos de ce rôle indépendant.
Tests d’intrusion
Bey résume l’idée derrière un test d’intrusion par une analogie parlante : des personnes qui continuent d’appuyer sur un distributeur de soda dans l’espoir qu’une canette finisse par tomber. « C’est en fait exactement ce que l’on fait avec les tests d’intrusion : on manipule un système de différentes manières jusqu’à ce que quelque chose en sorte », explique-t-il. L’objectif est de pirater avant d’être réellement piraté.
Bey entraîne la salle dans une série de récits qui ressemblent à des films, mais qui n’en sont pas. Dans une ville belge, son équipe a accédé en moins d’une heure au panneau d’administration de tous les feux de signalisation. « Nous pouvions tous les mettre au vert ou au rouge. Nous ne l’avons évidemment pas fait », précise-t-il.
Un parc d’attractions, un musée néerlandais possédant une base de données de millions d’euros d’œuvres d’art, des consignes à bagages dans les gares, une entreprise pharmaceutique via son CRM : à chaque fois, ils ont réussi à s’introduire. L’anecdote la plus récente est aussi la plus déconcertante. « La semaine dernière encore, nous nous sommes introduits dans un réseau interne via le thermomètre d’un aquarium. »
En d’autres termes, un test d’intrusion est un instantané, et il en ressort toujours quelque chose – même chez ceux qui ont le meilleur partenaire informatique. Nous regroupons les chiffres concrets derrière ce récit dans un article d’actualité séparé.
Sécuriser un château vide ?
Le Zero Trust est la réponse à ce château vide, selon Jente Vandijck, Solution Architect chez VanRoey. Les données migrent vers des applications SaaS et les gens travaillent partout ; celui qui continue à sécuriser comme autrefois protège quelque chose qui n’est plus là. « Si nous continuons à sécuriser de manière classique, nous sécurisons en fait un château vide. »
Selon lui, la solution repose sur trois principes fondamentaux :
- Vérifier explicitement : authentifier et autoriser en permanence.
- Privilèges minimaux : un accès juste-à-temps et juste-assez, où l’utilisateur ne reçoit que les droits dont il ou elle a besoin à ce moment précis.
- Supposer la brèche : partir du principe que vous avez déjà été piraté et donc minimiser constamment votre surface d’attaque.
Là où Vandijck s’intéresse aux identités, Pelle Aardewerk déplace le regard vers l’appareil que vous tenez entre vos mains. L’Endpoint Security Lead VP EMEA chez HP affirme que plus des deux tiers des incidents de sécurité commencent aujourd’hui au niveau du terminal.
Aardewerk place cela dans le contexte européen de NIS2, DORA et du Cyber Resilience Act, qui obligent également les fournisseurs à adopter la sécurité dès la conception (security by design). La sécurité totale reste toutefois une illusion : « La sécurité à 100 % n’existe pas et n’existera jamais. » Le cœur de son propos est donc un changement de mentalité, passant de la détection a posteriori à la prévention a priori.
« Un pirate n’a besoin que d’une ou deux minutes », prévient-il. « J’ai moi-même cliqué sur un lien de phishing récemment. Avec l’IA, tout est si sophistiqué que cela arrive tout simplement. »
Le pirate vise votre cerveau
Du matériel et du logiciel vers l’humain. Veerle Peeters, fondatrice de CybHERstrong, relie ainsi toutes les sessions. « Si j’étais un pirate aujourd’hui, je ne piraterais pas votre pare-feu, mais votre cerveau. Et j’utiliserais l’IA pour cela », commence-t-elle.
Sociologue et criminologue de formation, Peeters balaie d’emblée une affirmation tenace. « J’ai toujours un peu la chair de poule quand j’entends que l’humain est le maillon faible », dit-elle. Selon elle, ce n’est pas une question de stupidité : « Ce n’est pas parce que nous savons quelque chose que nous allons forcément le faire. »
Selon Peeters, la sécurité ne commence pas par les processus, mais par une décision de la direction. Si la vision manque, la confusion s’installe ; si l’importance fait défaut, la résistance suit ; sans plan, le chaos surgit ; sans moyens, la frustration apparaît ; et sans les compétences adéquates, les gens prennent peur.
Le message est clair : la sécurité doit être ancrée dans la culture et non être apposée comme un simple autocollant par-dessus tout le reste.
La porte est ouverte
Ce qui commence par une métaphore de château se termine par le constat que les murs sont toujours là, mais que la porte est ouverte de l’intérieur. Les sessions techniques montrent que le périmètre s’est dissous dans les identités, les appareils et le cloud, et que les réglementations telles que NIS2, DORA et le Cyber Resilience Act obligent les entreprises à prendre leurs responsabilités jusque dans leur chaîne d’approvisionnement.
Les récits de tests d’intrusion de Cresco illustrent de manière douloureusement concrète la rapidité avec laquelle les choses peuvent mal tourner, et derrière chaque attaque réussie se cache un humain qui, sous la pression de la vitesse, de l’autorité et de la confiance, ouvre la porte.
Tom Hufkens clôture la journée avec ce même fil conducteur. Le message n’est pas « achetez plus de technologie », mais « organisez la sécurité autour de vos collaborateurs ». Ou, selon les termes qui résument parfaitement le château d’Ordingen : sécuriser un château vide n’a aucun sens.