Pierre-François Guglielmi, field chief technology officer de Rubrik, une entreprise de cybersécurité, pionnière en matière de « Zero Trust Data Security », a animé en janvier à la rédaction d’Alliancy un atelier intitulé « Save The Data ». Il détaille ce qu’apporte de différent une telle initiative aux DSI, RSSI et directeurs des opérations d’une entreprise.

Quel a été votre avis sur les réactions et les commentaires faits par les DSI et RSSI rassemblés lors de l’atelier ?

Pierre-François Guglielmi, field chief technology officer de Rubrik

Avec ce focus sur une attaque par ransomware inspirée d’une histoire vraie, on a senti qu’on touchait pour eux un sujet d’actualité qui avait toute leur attention. J’ai trouvé le niveau d’interaction lors de la soirée très positif. Les invités ont joué le jeu, ils ont été impliqués et ils ont partagé leurs avis de façon constructive. En la matière, chaque session est unique car chacun amène ses propres perspectives lors d’un tel atelier, selon son secteur d’activité et son organisation. C’est tout l’intérêt, car au final il y a des avis partagés, qui créent des débats. On sait que l’échange devient encore plus intéressant quand, au-delà des opinions, les participants livrent leurs propres retours d’expériences, comme cela a été le cas en janvier pour cet atelier. Sur ce type de profil réunis, RSSI, DSI, directeurs des opérations… c’est très précieux car notre objectif était vraiment de mener une sensibilisation efficace sur ces sujets complexes.

Pourquoi vous parait-il si important de mener ce type d’atelier aujourd’hui ? La sensibilisation sur les ransomware n’a-t-elle pas été suffisante depuis 2016 et la médiatisation de WannaCry par exemple ?

Il y a plusieurs éléments de réponse. Un point qui ressort assez fortement lors de ces ateliers, c’est la prise de conscience récente chez de nombreux acteurs que, au-delà des nombreuses couches de sécurité qui ont été installées depuis cette époque dans l’entreprise, les attaques ont toujours bien lieu et font des dégâts. Ensuite, le réflexe de beaucoup d’acteurs est de se retourner vers leurs plans de continuité d’activité… La sensibilisation de ces dernières années a conduit à ce type de mécanisme. Mais ces PCA/PRA sont fait pour des scénarios de désastre particuliers, comme un incendie ou inondation notamment. Actuellement, une cyber-attaque par ransomware, elle, se déclenche après avoir pénétré les systèmes de l’entreprise depuis longtemps. Et les solutions de continuité d’activité mises en place, basées sur des réplications, ne fonctionnent pas : le ransomware est toujours présent quand les systèmes sont relancés.

A lire aussi : Débat de la rédaction Alliancy Spécial 10 ans : Sans un numérique de confiance, point de salut

Certains des participants présents chez Alliancy en janvier l’ont vécu eux-mêmes et le disent : il faut continuer à sensibiliser sur ce sujet. Or, cela a beaucoup plus d’impacts quand c’est un RSSI qui l’explique que quand c’est un éditeur de logiciel qui l’affirme. Il est nécessaire d’amener des débats entre pairs pour éviter les raccourcis inquiétants que font encore beaucoup de DSI. Leur réflexe est en effet de se dire : « J’ai déjà les solutions, j’ai des sauvegardes externalisées, je suis donc tranquille ». Quand on creuse un peu, on se rend vite compte que ce n’est pas la bonne préparation pour une cyber attaque en 2023. Les ransomwares ont évolué. Si en 2016, ils ne s’en prenaient pas aux systèmes de sauvegarde, c’est presque systématiquement le cas aujourd’hui par exemple. On aimerait faire changer les gens d’avis, avant qu’ils soient forcé de s’adapter en urgence parce que leur organisation a été touché par un tel ransomware.

Et contrairement à ce que l’on pourrait croire, ce n’est pas une opposition entre vision de DSI et de RSSI qui prévaut. Des spécialistes cybersécurité dans les entreprises nous disent régulièrement qu’ils ne s’inquiètent pas parce qu’ils ont des outils de type XDR, du firewall… et qu’ils « détectent déjà en amont les IoC » (indicateurs de compromission, NDLR). Mais si c’était aussi simple cela se saurait. Les techniques de social engineering qui permettent aux criminels de pénétrer dans les systèmes le prouvent jour après jour. Dans ce contexte, le dernier rempart, c’est vraiment la sauvegarde, mais à condition qu’elle soit pensée de façon résiliente. Et cela ne revient pas à dire qu’il suffit de s’équiper d’une solution « magique » pour se tirer d’affaire. C’est un nouveau parti-pris que l’entreprise doit adopter, avec de nouvelles bonnes pratiques à mettre en place.

Pourquoi préférez cette forme d’atelier « jeu de rôle », plutôt qu’une autre plus conventionnelle ?

Le format narratif, qui s’approche effectivement du jeu de rôle, a pour vocation d’immerger un peu plus facilement les participants dans l’action. L’idée est de favoriser une participation active. On veut éviter l’effet « présentation », qui a tendance à rendre les invités passifs, même quand il est prévu une part importante de retours d’expérience. Quand des RSSI et des DSI doivent lire une partie de l’histoire et interagir avec les autres, l’implication est tout à fait différente. Faire une mise en scène « en situation », inspirée d’une histoire vraie, permet de marquer les esprits, de faire retenir des enseignements plus facilement. Dans sa conception l’atelier est certes scripté, et on n’attend pas des prises de décisions ouvertes, mais la valeur vient surtout des phases de discussion libre animées entre chaque scène. On y pose des questions ouvertes où il n’y a pas de bonnes ou de mauvaises réponses. Qu’est-ce que vous auriez-fait vous-même dans cette situation ? Quelles auraient pu être les conséquences ? C’est à travers ces interrogations que l’on provoque des réactions intéressantes, voire des confrontations d’idées entre les différentes fonctions représentées. Et c’est aussi mon rôle d’animateur d’aider les participants à faire le parallèle avec leur propre situation, dans leur entreprise, pour qu’ils repartent de la session avec des nouvelles idées « activables ».