Kaspersky Lab : La sécurité informatique passe par la formation

Dossier : Dossier FFEMagazine N°711 Janvier 2016
Par Tanguy de COATPONT

Le petit dernier qui se place main­tenant chez les grands

Vos solutions de sécurité ne sont-elles pas compliquées à comprendre ?

Tech­nologique­ment, la sécuri­sa­tion des sys­tèmes d’informations est com­plexe. En revanche depuis quelques années, un gros effort est entre­pris sur l’ergonomie et la facil­ité d’utilisation de nos outils.

Le prob­lème n’est pas la com­plex­ité de nos sys­tèmes, mais bel et bien la per­cep­tion et la com­préhen­sion des risques infor­ma­tiques par l’utilisateur lui-même.

D’où votre souci de militer en faveur de la formation à la sécurité…

Nous en sommes con­va­in­cus. Sans l’adhésion com­plète de l’utilisateur, à titre per­son­nel et pro­fes­sion­nel, la sécu­rité sera extrême­ment dif­fi­cile à assur­er dans les entreprises.

Votre groupe mise-t-il sur la sécurité ?

Notre groupe exerce de nom­breuses activ­ités, mais nous met­tons générale­ment en avant la sécu­rité. Nous cher­chons à pro­téger le sys­tème d’information des entre­pris­es con­tre les vols de don­nées et la cor­rup­tion. Notre coeur de méti­er est là, mais l’utilisateur reste cen­tral pour nous.

Pourquoi ciblez-vous l’utilisateur ?

L’utilisateur n’est plus can­ton­né dans les murs de sa société comme c’était le cas il y a quelques années. Il dis­pose aujourd’hui d’un Smart­phone, d’une tablette et d’un ordi­na­teur portable. Il est très mobile dans les murs et à l’extérieur de son entreprise,et doit accéder à l’information où qu’il soit.

Dans ce con­texte, la sécu­rité devient de plus en plus dif­fi­cile à assur­er sans l’aide con­crète de l’utilisateur.

À quel niveau la sécurité doit-elle être prise en compte ?

La sécu­rité doit être inté­grée dans tous les pro­jets de dig­i­tal­i­sa­tion et de numéri­sa­tion. Elle doit être prise en compte dès la phase de développe­ment des sys­tèmes indus­triels ou des logiciels.

Au sein de l’entreprise, qui est concerné par la politique de la sécurité ?

Il faut sen­si­bilis­er en per­ma­nence les salariés aux risques infor­ma­tiques qui devi­en­nent de plus en plus impor­tants. La sécu­rité doit être prise en compte par les DRH dans tous les cur­sus de for­ma­tion et doit être relayée dans toutes les divisions.

Les attaques concernent-elles tout le monde dans les entreprises ?

Dans la plu­part des grandes attaques, les per­son­nes ciblées étaient des compt­a­bles ou des chargés de mar­ket­ing qui ont cliqué sur un mau­vais lien. Nous le dis­ons. Tous les employés sont désor­mais des cibles potentielles.

Prenez-vous en compte dans votre démarche vos distributeurs ?

Les dis­trib­u­teurs de nos solu­tions sont cer­ti­fiés par nos soins. Ils doivent être bien for­més dans l’installation, le paramé­trage et le main­tien en activ­ité de nos logiciels.

Nous esti­mons en effet que s’ils n’ont pas une bonne com­préhen­sion de nos logi­ciels, cela créera tôt ou tard des problèmes !

Comment familiarisez-vous les employés d’un groupe ?

Les « seri­ous games » sont notre cheval de bataille. Cet ensem­ble de solu­tions ludique per­met aux direc­tions des ressources humaines de met­tre en sit­u­a­tion les salariés et de faire pass­er les mes­sages clés.

En quoi ces jeux sont-ils essentiels ?

La for­ma­tion sur la sécu­rité peut être rapi­de­ment rébar­ba­tive. Nous par­tons du principe que les mes­sages ne passent pas si nous n’arrivons pas à impli­quer des gens de manière ludique.

Comment jugez-vous les besoins en formation ?

Nos out­ils peu­vent mesur­er à un instant T le niveau de con­nais­sances sécu­ri­taires des employés.

En fonc­tion des besoins, nous pou­vons déploy­er des mod­ules de for­ma­tion « on line » qui per­me­t­tent à chaque employé de se per­fec­tion­ner en per­ma­nence sur l’hameçonnage, sur la créa­tion et l’intérêt de mots de passé sécurisés…

Devant les attaques qui évoluent très vite, les formations sont-elles toujours utiles ?

La réponse est claire­ment oui. Nous sommes tou­jours ébahis, voire même choqués devant tant d’attaques aus­si sophis­tiquées, ciblées et tech­nologique­ment avancées qui com­men­cent par une sim­ple erreur d’un employé.

Sans un bon niveau de com­préhen­sion et de for­ma­tion des util­isa­teurs, les pirates pour­ront faire ce qu’ils voudront !

Faut-il nommer un responsable de sécurité en systèmes d’informations dans chaque entreprise ?

Les respon­s­ables en SII exis­tent depuis de nom­breuses années. Ils se dévelop­pent de plus en plus et sont présents dans les sociétés de taille impor­tante. Ils com­men­cent d’ailleurs à l’être dans des PME.

Ces cadres-là sont très impor­tants pour nous parce qu’ils sont des ambas­sadeurs de nos solutions.

Les réseaux sociaux sont parfois dangereux.
Faut-il interdire leur accès ?

Entre l’interdiction totale et la per­mis­siv­ité, le curseur est dif­fi­cile à plac­er. Inter­dire l’accès aux réseaux soci­aux était une solu­tion accept­able, il y a quelques années.

Mais à l’heure où les généra­tions Y et Z, ou généra­tions con­nec­tées ‚utilisent les réseaux soci­aux en per­ma­nence à titre per­son­nel et pro­fes­sion­nel, il n’est pas réal­iste de tout bloquer.

Quelle est donc la solution face aux réseaux sociaux ?

La respon­s­abil­i­sa­tion. Il faut expli­quer pourquoi on fait les choses ou com­ment on fait les choses si on les entre­prend différemment.

Les employés pour­ront mieux utilis­er les out­ils soci­aux impor­tants pour les sociétés d’aujourd’hui s’ils com­pren­nent les effets par­fois dévas­ta­teurs de leurs actes.

Vous parlez beaucoup des utilisateurs.
Êtes-vous en perpétuelle réflexion sur vos solutions ?

Nous évolu­ons au rythme de l’apparition de nou­veaux usages, de nou­veaux ter­minaux et des inno­va­tions. Kasper­sky Lab dis­pose d’un des plus grands lab­o­ra­toires mon­di­aux dans l’analyse des virus.

Nous traitons de manière automa­tique un peu plus de 325 000 nou­veaux fichiers malveil­lants par jour.

Qui traite ces fichiers ?

Nos robots et nos mod­èles math­é­ma­tiques per­me­t­tent de clas­si­fi­er et de traiter qua­si­ment 99 % de nos fichiers. 1 % est directe­ment géré par une équipe de 40 chercheurs, experts en sécu­rité, répar­tis sur les cinq con­ti­nents. Ce 1 % est sou­vent le plus complexe.

Sur quoi travaillent-ils principalement ?

Ils tra­vail­lent sur les grandes attaques com­plex­es telles que The Mask Care­to, Dark Hotel, Equa­tion… en lien notam­ment avec Inter­pol et Europol, les chercheurs pub­lient le résul­tat de leurs recherch­es et de leurs investigations.

Une par­tie de ces rap­ports est acces­si­ble sur notre site Inter­net. Une autre par­tie con­tient des infor­ma­tions non publiques ven­dues à des sociétés abon­nées à nos services.

Leur tra­vail per­met de dévelop­per des solu­tions tech­nologiques met­tant à l’abri le grand pub­lic et les entre­pris­es des attaques.

Comment voyez-vous l’avenir ?
La sécurité passe-t-elle par l’internet des objets ?

L’Internet des objets va démul­ti­pli­er les risques infor­ma­tiques comme le sou­tient notre fon­da­teur Eugène Kasper­sky. Notre cré­do est de pouss­er les développeurs à penser à la « brique sécu­rité » dès la con­cep­tion des objets connectés.

Vous êtes inquiet…

Si dès le départ la sécu­rité n’est pas inté­grée dans les objets con­nec­tés, les con­séquences peu­vent être très graves.

Récem­ment, des experts en sécu­rité ont réus­si à pirater un Jeep en temps réel… Vous com­prenez aisé­ment que les briques sécu­rité sont fondamentales.

La sécurité a visiblement de l’avenir…

La sécu­rité infor­ma­tique n’est pas prête de dis­paraître, car la notion d’objets con­nec­tés explose et que demain tout sera connecté.

Notre groupe mène d’ailleurs un pro­gramme en interne avec l’aide d’une asso­ci­a­tion pour étudi­er les piratages pos­si­bles de puces placées dans des corps humains.

Vous êtes sur tous les fronts…

Il faut com­pren­dre que les hack­ers sont de vrais ingénieurs et capa­bles d’investir plusieurs dizaines de mil­lions d’euros pour leurs attaques !

Face aux men­aces, nous essayons tou­jours d’avoir un coup d’avance. Mais notre mis­sion est dif­fi­cile dans la mesure où nous sommes là pour pro­téger et non pour attaquer.

Poster un commentaire