Cybersécurité : « L’approche Zero Trust est un nouveau paradigme »

Cybersécurité : « L’approche Zero Trust est un nouveau paradigme »

Tous deux étudiants en 5e année au sein de la Majeure Système Réseau et Sécurité (SRS), André Debuisne et Vincent Bernaud (EPITA promo 2021) ont grandement contribué à la rédaction de l’édition 2020 du le Livre Blanc « Cybersécurité & Innovations » des Assises de la Sécurité. Présents lors de l’événement des Assises organisé à Monaco en octobre dernier, les deux futurs ingénieurs y ont fait le plein de découvertes et de rencontres afin d’alimenter cet ouvrage d’articles pertinents et d’entretiens. Pour l’EPITA, ils reviennent sur leur vocation cyber et l’apport de cette expérience unique.

 

Livre Blanc « Cybersécurité & Innovations » des Assises de la Sécurité, édition 2020 : témoignage de deux étudiants de la Majeure SRS de l'EPITA

André et Vincent lors des Assises, aux côtés de Joël Courtois, directeur général de l’EPITA et Marie Moin, directrice de SECURESPHERE by EPITA

 

Pourquoi avoir choisi la Majeure SRS et l’univers de la cybersécurité ?

Vincent : Pour ma part, lors de ma 3e année, j’ai fait un stage chez Airbus Cybersecurity sans toutefois avoir réellement fait du hacking ou des « Capture The Flag » auparavant. Ce qui m’intéressait, c’était vraiment l’aspect sécurisation-recherche, pour la défense. En fait, j’étais plus attiré par la partie stratégique que la partie technique et ce stage m’a convaincu de poursuivre là-dedans et de choisir la Majeure SRS.

André : J’ai vécu un peu la même chose que Vincent. En 3e année, mon stage m’a fait découvrir la cybersécurité dans le monde de la finance, au sein de la même entreprise où j’effectue actuellement mon stage de fin d’études. C’est là-bas que j’ai réellement pu saisir les enjeux assez hallucinants de la cybersécurité, avec ce mélange de problématiques à la fois très techniques et très stratégiques. Je voyais donc SRS comme la seule Majeure me permettant de continuer à approfondir ce domaine et de revenir dans cette entreprise pour poursuivre la sécurisation de cet écosystème !

Vincent : D’ailleurs, nous sommes tous les deux en stage de fin d’études dans la même entreprise : chez XBTO, une entreprise spécialisée dans la crypto-finance !

 

Qu’est-ce qui fait, selon vous, un bon ingénieur en cybersécurité ?

André : Il faut déjà des connaissances assez généralistes car, pour sécuriser une entreprise et donc son système d’information (SI) ainsi que son réseau sous-jacent, il faut être familier avec l’ensemble de ses composants : on ne peut pas juste sécuriser « un bout ». Pour moi, un bon ingénieur en cybersécurité se doit donc d’être curieux et de connaître les différentes technologies afin de pouvoir appréhender et apprendre rapidement de nouvelles choses. Au fond, c’est cultiver la pluridisciplinarité tout en étant « pluri-technique ». Et si la technique est importante, il ne faut pas non plus oublier d’avoir une vision très stratégique. En effet, on doit être capable de vulgariser le sujet auprès des dirigeants, de préparer des budgets, etc.

Vincent : Je suis totalement d’accord. Je rajouterais juste que, dans la cyber plus que dans d’autres domaines de l’informatique, il est vraiment crucial de s’intéresser à ce qu’il va se passer dans les prochaines années, d’être tourné vers l’avenir. Il faut toujours essayer d’avoir un maximum d’avance en permanence, pour imaginer de nouvelles solutions. C’est un domaine qui ne peut pas se permettre d’avoir ne serait-ce qu’un peu de retard car les attaques ne cessent d’augmenter. Enfin, un bon ingénieur en cybersécurité se doit aussi de bien comprendre les différents enjeux de son entreprise : toutes les entreprises ne se sécurisent pas de la même façon et sur un même niveau. Il faut bien avoir en tête que nous sommes là pour du support : nous amenons de la sécurité, mais ce n’est pas nous qui, dans l’entreprise, « ramenons de l’argent ». C’est un juste milieu à trouver afin de sécuriser au mieux l’entreprise et les personnes tout en bloquant le moins possible l’activité et les usages.

 

Comment vous êtes-vous retrouvés impliqués sur ce projet de Livre Blanc ?

André : Très tôt dans l’année, nous avons pu avoir un retour d’expérience des Anciens étudiants ayant réalisé les précédentes éditions, puis Florence Puybareau, directrice de la communication et des contenus des Assises, est venue à l’EPITA pour nous présenter le projet et l’écosystème de la cybersécurité. Ensuite, au sein de la Majeure, il y a eu un appel à candidatures pour celles et ceux qui souhaitent assister aux Assises de la Cybersécurité à Monaco. Nous étions une bonne douzaine à postuler et la sélection s’est faite selon le profil des candidats. Il fallait être capable échanger avec des professionnels très différents – certains étant plus dans le management que dans la technique pure -, de rédiger des articles et d’encadrer les autres étudiants de la Majeure participant également à la rédaction.

Vincent : Ce qui était aussi motivant, c’était le côté « réseau » : en tant qu’étudiants, nous avons eu l’opportunité de pouvoir rencontrer des professionnels et d’avoir leurs retours d’expérience pour faciliter encore notre compréhension du monde de la cybersécurité en général. C’était d’autant plus agréable qu’ils ont tous été très bienveillants avec nous.

 

 

Justement, quelle est la rencontre que vous avez le plus appréciée ?

André : De mon côté, j’ai beaucoup apprécié mes échanges avec les startups. C’est toujours intéressant de voir comment ces acteurs-là tentent d’innover pour résoudre les menaces actuelles et futures. Par exemple, j’ai été marqué par ma discussion avec Julien Mardas, le CEO de Buster.AI, qui se positionne sur un registre assez différent. Son entreprise ne va pas observer les processus et les flux réseau pour protéger le SI : elle se concentre plutôt sur la couche informationnelle. Elle vise les attaques dites « réputationnelles », notamment via les réseaux sociaux, qui peuvent avoir un réel impact sur une entreprise et son chiffre d’affaires. J’ai trouvé très intéressant cette autre dimension de la cybersécurité, avec ces outils développés pour distinguer le vrai du faux.

Vincent : Il y a eu tellement de rencontres et de conférences que je ne peux pas en sortir une du lot ! Ce que je retiens, c’est simplement la diversité des Assises : on pouvait y croiser des professionnels venant de secteurs différents, avec des métiers techniques ou non, une sensibilité qui leur est propre…

 

Et un sujet, une tendance ?

Vincent : Je pense qu’André et moi sommes d’accord là-dessus : c’est le « Zero Trust ». C’est une approche assez récente, innovante et très challengeante car elle demande de revoir toute la façon de penser l’informatique d’une entreprise – une façon qui existe pourtant depuis des décennies !

André : C’est un nouveau paradigme. L’idée est de vérifier à chaque interaction la personne ou le client se trouvant en face. Il s’agit de vérifier de manière continue le fait que ce soit la bonne personne qui ait accès à la bonne ressource à chaque moment de la chaîne.

Vincent : Prenons un exemple : aujourd’hui, si je me connecte à un site web pour accéder au réseau de mon entreprise, je passe par un VPN, mais une fois sur le réseau, je ne sais pas vraiment si j’ai accès à tout ou qu’à une seule partie. Ce n’est pas très segmenté. L’approche Zero Trust est basée sur les autorisations allouées à une personne. Cela consiste à lui dire « Tu as accès à telles choses » et, quand elle se connectera, elle n’aura accès qu’à ces choses-là. On restreint les ressources et on ne laisse pas tout « libre » comme c’est le cas aujourd’hui.

 

Avec un système de vérification qui fait penser à la Blockchain…

André : Oui, mais contrairement à la Blockchain, ce n’est pas publique. Le nom « Zero Trust » est limpide : cela revient à ne faire confiance à aucun environnement. C’est une autre mentalité : peu importe où je suis, je considère mon environnement ou mon appareil comme potentiellement vulnérable et infecté. Que je branche ma machine sur un réseau dans mon entreprise ou dans un café, je considère l’environnement comme étant potentiellement compromis. D’où ces mécanismes d’accès, d’autorisation et d’identification à mettre en place à tous les niveaux sans pour autant rendre compliqué la vie de l’utilisateur – l’idée n’est pas qu’il ait à entrer un mot de passe toutes les deux minutes !

 

Finalement, doit-on être un peu paranoïaque pour travailler dans le milieu de la cybersécurité ?

Vincent : En fait, il y a différents niveaux de paranoïa dans la cybersécurité ! (rires) Plus sérieusement, je ne pense pas qu’il faille l’être, on doit juste avoir bien conscience que les risques viennent de partout. Si l’on peut être tenté de se focaliser sur les risques externes, il ne faut pas oublier que la plupart des cyberattaques sont généralement provoquées par des employés, non pas par malveillance mais parce qu’ils n’étaient pas assez formés ou mal informés. De ce fait, la paranoïa pourrait justement poser un problème car elle risquerait de bloquer le métier, en n’autorisant plus les accès, en multipliant les mots de passe, etc. Cela signifierait à terme une baisse d’activité et donc, pour l’entreprise, une baisse des revenus ! Il faut trouver un juste milieu et avoir toujours un peu « peur » dans le bon sens.

André : Je suis d’accord. D’ailleurs, il n’est pas raisonnable aujourd’hui de considérer que le ransomware n’est pas une menace réelle pour son entreprise : chaque structure doit s’en prémunir ! Toutefois, il ne faut pas non plus prendre pour argent comptant tous les discours des « vendeurs » en cybersécurité car certains produits et abonnements vendus très chers peuvent ne pas représenter une réelle plus-value selon les caractéristiques de l’entreprise. Il faut être conscient des dangers actuels tout en sachant faire la part des choses entre ce qui est nécessaire et ce qui ne l’est pas !

 

 

Livre Blanc « Cybersécurité & Innovations » des Assises de la Sécurité, édition 2021

 


Découvrez l’édition 2020 du Livre Blanc« Cybersécurité & Innovations » !

Depuis 2018, les étudiants de la Majeure Système Réseau et Sécurité (SRS) de l’EPITA contribuent chaque année à sonder le monde de la sécurité informatique en rédigeant le Livre Blanc « Cybersécurité & Innovations » des Assises de la Sécurité. Désormais disponible en ligne, l’édition 2020 de cet ouvrage vous permettra de prendre la température de ce secteur passionnant et désormais incontournable grâce à des interviews de professionnels, des infographies, des résumés de keynotes et conférences ou encore des focus sur les tendances actuelles et à venir.

 

Téléchargez dès à présent le Livre Blanc « Cybersécurité & Innovations » 2020 !

Suivez l’actualité des Assises de la Sécurité sur son site Internet, mais aussi sur les réseaux sociaux (Instagram, LinkedIn, Twitter et YouTube).

Envie d’un savoir plus sur la Majeure SRS ? Rendez-vous sur la page dédiée du site de l’EPITA !

 

Livre Blanc « Cybersécurité & Innovations » des Assises de la Sécurité, édition 2020 : témoignage de deux étudiants de la Majeure SRS de l'EPITA