Continuer sans accepter

Bonjour et bienvenue sur le site d’AEF info
Vos préférences en matière de cookies

En plus des cookies strictement nécessaires au fonctionnement du site, le groupe AEF info et ses partenaires utilisent des cookies ou des technologies similaires nécessitant votre consentement.

Avant de continuer votre navigation sur ce site, nous vous proposons de choisir les fonctionnalités dont vous souhaitez bénéficier ou non :

  • Mesurer et améliorer la performance du site
  • Adapter la publicité du site à vos centres d'intérêt
  • Partager sur les réseaux sociaux
En savoir plus sur notre politique de protection des données personnelles

Vous pourrez retirer votre consentement à tout moment dans votre espace « Gérer mes cookies ».
Revenir en haut de la page

"La cybersécurité doit être offensive" (Yassir Kazar, Yogosha)

"Aujourd’hui, personne n’est épargné par les cyberattaques, nous allons tous y passer. Ceux qui ont fait des simulations d’attaque auront plus de chances de s’en sortir", assure Yassir Kazar, dans une interview accordée à AEF Info. Le directeur général de Yogosha, plateforme crowdsourcée de cybersécurité fondée en 2015, fait le lien entre une communauté de hackers sélectionnés rigoureusement et des entreprises qui souhaitent tester leurs systèmes. Il se félicite de voir le hacking éthique occuper une place grandissante au sein du FIC (1). Thales Digital Factory, Bouygues Telecom, Société générale, Veolia, Cdiscount ou encore le ministère des Armées, ont déjà mis les défenses de leurs applications à l’épreuve pour détecter leurs failles, et les corriger. Si les mutations induites par la crise sanitaire et les confinements profitent à la menace cyber, Yassir Kazar voit l’époque comme un défi.

   Merci de découvrir AEF info !

Cette dépêche est en accès libre.

Retrouvez tous nos contenus sur la même thématique.

Tester AEF info pendant 1 mois
Test gratuit et sans engagement
  • Thématiques
  • Coordonnées
  • Création du compte

Thématiques

Vous demandez à tester la ou les thématiques suivantes*

sur5 thématiques maximum

1 choix minimum obligatoire
  • Sécurité globale
  • 👁 voir plus
    ✖ voir moins

Fréquence de réception des emails*

Un choix minimum et plusieurs sélections possibles. Vous pourrez modifier ce paramétrage une fois votre compte créé

Un choix minimum obligatoire

* Champs obligatoires

Coordonnées

Renseignez vos coordonnées*

Veuillez remplir tous les champs
Votre numéro de téléphone n'est pas valide

* Champs obligatoires

Création de compte

Tous les champs sont obligatoires
Votre adresse e-mail n'est pas valide
Seulement les adresses e-mails professionnelles sont acceptées

Cette adresse vous servira de login pour vous connecter à votre compte AEF info

Votre mot de passe doit contenir 8 caractères minimum dont au moins 1 chiffre
Ces mots de passe ne correspondent pas. Veuillez réessayer

Votre mot de passe doit contenir 8 caractères minimum dont 1 chiffre

En validant votre inscription, vous confirmez avoir lu et vous acceptez nos Conditions d’utilisation, la Licence utilisateur et notre Politique de confidentialité

* Champs obligatoires

Valider

Merci !

Nous vous remercions pour cette demande de test.

Votre demande a été enregistrée avec l’adresse mail :

Nous allons rapidement revenir vers vous pour vous prévenir de l’activation de votre nouvel accès.

L’équipe AEF info


Une erreur est survenue !

Une erreur est survenue lors de l'envoi du formulaire. Toutes nos excuses. Si le problème persiste, vous pouvez nous contacter par téléphone ou par email :
 service.clients@aefinfo.fr  01 83 97 46 50 Se connecter

Yassir Kazar est le directeur général de Yogosha Droits réservés - DR

AEF info : Cette année, le FIC accueille en son sein l’European cyber cup (EC2) – compétition consacrée au hacking éthique –, de quel œil le voyez-vous ?

Yassir Kazar : Avec Yogosha, nous organisons l’une des cinq épreuves de l’EC2. Nous avions déjà organisé ce genre de défi, mais au FIC, c’est une première (lire sur AEF info). Le "bug bounty" [chasse aux bugs] s’installe dans le paysage, c’est une source de fierté ! C’est un bon moyen de repérer des nouveaux profils, et éventuellement de les embarquer avec nous.

AEF info : Comment fonctionne Yogosha ?

Yassir Kazar : Yogosha est une plateforme crowdsourcée [fonctionnement participatif, délégation d’une tâche à un grand nombre de personnes] de cybersécurité. Nous mettons en relation des hackers à travers le monde, sélectionnés de manière rigoureuse. Le client a plusieurs manières de collaborer avec eux. La plus connue est donc le "bug bounty", un paiement à la faille. Le client va bloquer un budget. Ce budget créé une mission bien définie sur un programme précis. Le prix de la faille va être indexé sur la criticité de celle-ci. Les hackers vont se rémunérer ainsi, en trouvant la faille. Il peut y avoir une centaine de hackers en même temps. Mais les "bug bounty" restent opportunistes, les failles sont pointées, mais on ne va pas chercher l’exhaustivité en s’appuyant sur une méthodologie systématique.

AEF info : Quand s’arrête un "bug bounty" ?

Yassir Kazar : Techniquement, il peut être permanent. La prestation s’arrête quand il n’y a plus d’argent sur le compte séquestre en ligne. Tant qu’il y a de l’argent dans la cagnotte, les hackers vont chercher à se rémunérer. Les entreprises peuvent réalimenter le compte ou le clôturer et la mission se termine. Un pilote sur du "bug bounty" nécessite un minimum de 15 000 euros sur une année. Mais en fonction de la volonté et du budget des entreprises, cette somme peut grimper très haut. En dessous de 15 000 euros, mieux vaut privilégier d’autres services.

AEF info : Lesquels ?

Yassir Kazar : Après le "bug bounty", il y a le pentest [Penetration test] crowdsourcé. Ce service permet aux entreprises d’avoir une analyse de leur application. Ça passe par notre plateforme également. Le client fait appel à un hacker pour un audit, ou deux qui travaillent en équipe. Avec une méthodologie d’audit, le hacker retrace l’ensemble des tests qui ont pu être menés avec les failles potentielles. Et nous, nous proposons également la remontée de vulnérabilité coordonnée. De plus en plus de hackers éthiques peuvent spontanément remonter des failles et les entreprises n’ont pas de canal pour ça. Ça peut être mal remonté par des community managers ou d’autres employés de l’entreprise contactée. Nous proposons un canal sécurisé pour mettre en contact ces personnes et s’assurer que cette information tombera dans les mains des bonnes personnes.

AEF Info : Combien de hackers travaillent sur votre plateforme ?

Yassir Kazar : Nous pouvons avoir 4 000 hackers potentiels – ils sont sur liste d’attente – dont 500 ont été validés par notre système, après avoir passé plusieurs tests. Ces 500 profils travaillent avec nous, à leur compte, ce sont des indépendants. Ils viennent principalement d’Europe, d’Inde et d’Afrique du Nord.

AEF Info : Comment validez-vous les profils ?

Yassir Kazar : D’abord, ils remplissent un formulaire avant de passer des tests techniques. Nous voulons savoir si nous avons affaire avec un simple passionné ou un vrai professionnel. Nous nous appuyons sur des tests CTF [Capture the flag], notre méthode s’appuie sur des failles existantes dans le monde réel mais embarqué dans des plateformes de test. Le taux de réussite tourne autour de 10 à 20 %, c’est très sélectif. Enfin, il y a un système de validation d’identité avec une vérification du compte bancaire, des pièces d’identité et du statut fiscal de la personne. Nous voulons vérifier qu’ils existent. Et quand ces hackers validés travaillent pour nous, ils se soumettent à une notation réciproque. Ils notent les entreprises et les entreprises les notent. Mis bout à bout, ça donne un process robuste.

AEF info : Quel est l’intérêt d’être un hacker éthique ?

Yassir Kazar : C’est un choix de vie. Je reste persuadé que la majorité des gens ont envie d’avoir une vie saine et tranquille. Quand les hackers sont payés correctement, ils ne vont pas chercher à devenir des criminels, c’est juste du bon sens. La cybercriminalité elle, est un mode de vie dangereux. Mais ces choix peuvent s’expliquer par des histoires individuelles… Certains peuvent ensuite se repentir, parce qu’ils se rendent compte que ça ne peut que mal se terminer.

AEF info : Quels types de clients avez-vous ?

Yassir Kazar : Nous avons quatre grands segments : la banque et la finance, les industries publiques, le commerce de détail, et enfin les éditeurs de logiciels interentreprises. Nous avons aussi de plus en plus régulièrement des entreprises de taille moyenne ou intermédiaire pour avoir des audits de sécurité. Soit parce qu’elles se posent des questions de sécurité, soit parce qu’elles ont subi une attaque, sinon avant de contracter une assurance.

AEF info : La plupart de vos clients ont déjà subi une attaque ?

Yassir Kazar : Tout le monde subit des attaques tout le temps, c’est un fait. Mais ces attaques ne se transforment pas tout le temps en brèche ouverte dans les systèmes. Néanmoins, nous traversons une phase critique où les attaques débouchent de plus en plus (lire sur AEF info).

AEF Info : Ces attaques semblent plus accessibles techniquement et se démocratisent, comment l’expliquez-vous ?

Yassir Kazar : Il y a de plus en plus d’outils disponibles en open source, très accessibles et faciles à utiliser, notamment avec la plateforme d’hébergement GitHub. Ça a permis de partager des logiciels, mais comme toutes les technologies, c’est à double usage. D’un côté, il y a ces instruments pour trouver des vulnérabilités de manière vertueuse, d’un autre côté, ces mêmes instruments peuvent être utilisés pour nuire à autrui.

AEF info : De quelles natures sont les cyberattaques déjà subies par vos clients ?

Yassir Kazar : Il y a beaucoup de choses, mais l’exfiltration de données constitue le plus grand déclencheur. Ces attaques sous-tendent une technicité particulière, contrairement au phishing qui repose sur la négligence d’un employé. S’il y a une suspicion de fuite de données c’est là où ça accélère les volontés de se tester. Ou la détection de Dos [attaque par déni de service], ou encore les rançongiciels. Nous ne testons pas les employés mais les systèmes de nos clients. Nous allons tester l’authentification, l’intégrité et la disponibilité des systèmes. Si l’un de ces trois piliers est touché, alors le système est considéré comme compromis.

AEF info : Quel impact a pu avoir la pandémie sur votre activité ?

Yassir Kazar : Nous avons enregistré une croissance de 110 % sur notre activité pour l’année 2020. Les entreprises où le télétravail est possible sont passées brutalement au tout digital et ont dû utiliser de nouveaux outils en ligne, sans les tester. Et ça continue en ce moment, le contexte est malheureusement favorable avec la vague d’attaques sur les hôpitaux et les collectivités territoriales (lire sur AEF info). Ça ne s’arrêtera pas, nous nous préparons à être encore plus sollicités.

AEF info : Ça a multiplié les vulnérabilités de vos clients ?

Yassir Kazar : Mécaniquement, rajouter des applications et des outils augmente la surface d’attaque. Mais au-delà de nos services de "bug bounty" et des failles techniques, nous observons une recrudescence du phishing qui repose sur la crédulité des utilisateurs. Nous passons notre vie à cliquer, même vigilants, nous perdons en attention. Ces changements brutaux de paradigme mettent les réflexes de base à rudes épreuves.

AEF info : Mis à part vos services, quelles autres initiatives une entreprise doit mettre en place pour se protéger ?

Yassir Kazar : Le premier enjeu pour les entreprises, c’est que le management, la présidence, la direction générale, non seulement soient conscients des enjeux de cybersécurité, mais l’intègrent dans leur vision stratégique. Sinon, l’entreprise ne se donnera jamais les moyens de faire face aux défis actuels et la cybersécurité sera vécue comme une punition. En parallèle de la sensibilisation, il faut faire des simulations d’attaques, de gestion de crises, des journées de rencontre pour présenter les membres de l’équipe sécurité informatique. Ces employés doivent devenir des collègues, pas juste des 'mecs' qui ennuient tout le monde. La cybersécurité doit être un investissement pour en faire un avantage compétitif et non pas simplement un coût.

AEF info : Comment expliquer ce retard de la cybersécurité dans les mentalités ?

Yassir Kazar : L’entrée de l’informatique dans la vie de l’entreprise est toute récente. Il a déjà fallu tout un travail pour voir les entreprises se numériser. Dans ce processus, le cyber n’a jamais été un sujet, c’était secondaire. La préoccupation principale, c’était de savoir comment faire marcher les outils. C’est comme les voitures, elles devaient répondre d’abord une problématique : comment se déplacer plus rapidement et sans effort. Puis il y a eu les premiers accidents, de nombreux morts, c’est devenu un sujet de société. Il a fallu créer la ceinture, mettre en place un permis de conduire et faire des crashs tests avant de commercialiser les véhicules. Aujourd’hui, les cyberattaques ont un impact financier énorme, à son tour ça devient un sujet (lire sur AEF info).

AEF info : Aujourd’hui, quels sont les nouveaux enjeux dans le milieu de la cybersécurité selon vous ?

Yassir Kazar : Pour Yogosha, notre priorité sera le développement à l’international, c’est un enjeu majeur pour l’année qui vient. Pour la filière cybersécurité en général, les enjeux sont de deux ordres, économiques et géopolitiques. Le secteur est actuellement morcelé, il va y avoir un phénomène de concentration d’acteurs. Des rapprochements récents témoignent de cette dynamique. Atos vient d’acquérir digital.security [filiale d’Econocom spécialisée dans la cybersécurité]. Et des pépites françaises commencent à intéresser des entreprises américaines. Alsid [startup française spécialisée dans la protection des annuaires d’identifiants et de mots de passe des salariés d’une entreprise] a été rachetée par Tenable, une grande entreprise cotée au Nasdaq [deuxième bourse des États-Unis]. Sqreen.io [développé par une entreprise française, cet outil permet de prévenir les fuites de données des applications mobiles] également a été rachetée par Datadog, une entreprise américaine.

En parallèle, nous sommes entrés depuis un moment dans une phase dites de soft war. Il n’y a plus besoin de bombarder ses ennemis, il suffit de pirater un système bancaire, opérer une crise de confiance et de méfiance. Car qui attaque ? Il y a des enjeux diplomatiques pour identifier les nouveaux centres de pouvoirs, et repenser la place de la technologie dans nos vies. Nous sommes dans une phase de grands défis. L’époque est anxiogène, mais nous pouvons la voir de manière positive : elle fait travailler les méninges. Il y a une tension, entre d’un côté des risques, mais aussi des opportunités. Cela créé une vraie ébullition et permet de changer nos grilles de lecture. Les sociétés qui seront les leaders de demain sont celles qui ont déjà commencé à réadapter leurs grilles de lecture du monde actuel.

(1) AEF info est partenaire média du FIC 2021

Fermer
Bonjour

Vous souhaitez contacter

Romain Haillard, journaliste