Jean Larroumets : "Tous les équipements sportifs reliés aux systèmes d'informations sont sujets à des attaques" (Assises 2019)

Alexandre Boero
Chargé de l'actualité de Clubic
10 octobre 2019 à 15h20
0


Interview - Patron et co-fondateur du leader français de la gestion du risque cyber, Jean Larroumets s'est longuement confié à Clubic lors des Assises de la sécurité, mercredi. Il est plus particulièrement revenu sur les risques auxquels le domaine du sport est exposé.

Contrairement aux sociétés issues des secteurs de la finance, de la défense ou de l'aérien, le monde du sport est, jusqu'à aujourd'hui, relativement épargné par la cybercriminalité. Les enjeux financiers du monde sportif et l'échéance d'événements majeurs comme les Jeux olympiques font pourtant planer la menace d'une attaque majeure prochaine. Aux Assises de la sécurité, à Monaco le mercredi 9 octobre, Jean Larroumets, président et co-fondateur d'EGERIE Software, éditeur toulonnais de logiciel en cybersécurité, et président de l'une des sections du Clusir Paca (Club de la sécurité des Systèmes d'Information Régional), nous explique en quoi le sport est exposé et comment il se doit de s'organiser pour d'abord appréhender puis pour lutter contre les menaces.

Interview de Jean Larroumets, P.-D.G. d'EGERIE Software

jean-larroumets-assises.jpg
Jean Larroumets, aux Assises de la sécurité, le 9 octobre 2019 à Monaco (© Alexandre Boero pour Clubic)

Clubic : Jean, vous avez participé à un colloque, à la rentrée, visant à discuter de l'environnement cyber de la Coupe du monde de Rugby 2023, qui aura lieu en France et des Jeux olympiques et paralympiques de Paris 2024, organisé par une instance du ministère de l'Intérieur. Il en est ressorti que l'ensemble des acteurs doivent recourir à l'analyse automatisée de risques cyber. Le sport est-il un secteur à risque, autant que les banques, la défense ou l'aviation ?

Jean Larroumets : Le sport n'est pas le secteur le plus exposé. La problématique est plutôt dans la taille de l'événement. Une Coupe du monde, des Jeux olympiques, ce sont des milliards de téléspectateurs. Donc une faille de sécurité sur la retransmission télévisuelle ou une attaque du grand écran du stade pendant la cérémonie d'ouverture sont des situations qui pourraient avoir un impact médiatique monumental et écorner l'image de marque du pays hôte, ainsi que sa capacité à protéger ce genre d'information et d'événement.

« Tous les équipements sportifs reliés aux systèmes d'information sont sujets à des attaques »


Lorsque nous parlons d'événements sportifs, c'est aussi être capable d'assurer la sécurité des personnes, la sécurité des infrastructures. Un stade de sport, aujourd'hui, accueille des objets connectés, exercent des contrôles d'accès connectés, possèdent des caméras connectées, et bientôt des sièges connectés. Tous les équipements sportifs reliés aux systèmes d'information sont sujets à des attaques au même titre que des attaques sur des SI.

Il y a plusieurs attaques quotidiennes sur les organisateurs des Jeux. Nous comptabilisons les attaques, pardonnez-moi la comparaison, au même titre qu'on comptabiliserait les impacts de balles sur un mur meurtri. Et des attaques peuvent aboutir. En 2018, il y avait eu une fuite monumentale chez l'équipementier sportif Under Armour, qui avait touché les données de 150 millions de clients de l'application de régime MyFitnessPal, qu'il possède.

Comment peut-on sensibiliser les acteurs du monde sportif, qui restent exposés ?

On les sensibilise en leur présentant ce qu'il peut leur arriver. C'est délicat. La gestion du risque cyber est une histoire de prise de conscience. Tant qu'il ne se passe rien, on se dit que ça n'arrivera pas. Nous allons subir, c'est prévu, une attaque cyber qui va avoir un impact très fort sur un événement sportif. La médiatisation des grands rendez-vous est tellement forte que l'impact sera important. Et il y a des enjeux financiers très forts autour de ces événements, notamment avec les partenaires, les diffuseurs, et des budgets colossaux.

N'est-il pas trop tard pour agir, où sommes-nous encore dans les temps ?

Je vais dire que c'est le bon moment. Nous avons trois à quatre ans devant nous. L'appréciation de la cartographie du risque prend du temps. L'analyse de risque, c'est de l'aide à la décision. Il faut être capable de savoir de quoi est constitué l'environnement, donc les stades, les infrastructures routières, sanitaires, télévisuelles et médiatiques. Le tout est de dégager quelles sont les vulnérabilités connues des experts sur ses systèmes-là, qui pourraient être exploités par des attaquants pour procéder à un acte malveillant visant à avoir un impact significatif. Cela nécessite du temps d'analyse. Chez EGERIE, nous aidons ces acteurs-là à travailler et à anticiper ce qui peut leur arriver pour mettre en place des lignes de défense qui soient les meilleures possibles. Le risque zéro n'existant pas, l'objectif est de le réduire à un niveau qui soit acceptable en termes d'impact.

« Nous avons besoin d'une méthode pour anticiper et modéliser le risque »


Que dire de la méthode d'analyse de risque intitulée EBIOS Risk Manager, initiée par l'Anssi, qui s'adapte aux nouveaux enjeux de la sécurité numérique ?

Nous avons besoin d'une méthode pour anticiper et modéliser le risque. Récemment, l'Anssi a proposé une nouvelle version de la méthode, dont l'objectif était de la rendre beaucoup plus stratégique. La problématique du risque cyber est que c'est souvent un risque technique, compris seulement par des techniciens.

Or, si on veut l'arbitrer, il faut le faire remonter à un niveau stratégique, parce que comme je le disais, il y a des impacts économiques. Pour se faire, il y a besoin d'un outillage et d'une plateforme qui normalisent ces informations-là, qui aident les acteurs cyber et non cyber à structurer ces informations pour pouvoir mettre en place cet espèce de simulateur qui va permettre de prendre la décision. C'est le positionnement de notre outillage.

assises-grimaldi-forum.jpg
Le Grimaldi Forum de Monaco accueille l'édition 2019 des Assises de la sécurité (© Alexandre Boero pour Clubic)

Quelles sont vos relations avec l'Anssi, que ce soit à travers EGERIE Software ou à travers votre rôle au sein du Clusir Paca ?

Elle a pu nous aider à développer cette technologie qui reprend exactement le fonctionnement de la méthode EBIOS Risk Manager. D'ailleurs, nous sommes labellisés par l'Anssi sur cette méthode, un agrément qui assure à nos clients que notre technologie répond exactement au cahier des charges de l'Anssi. Nous travaillons avec l'agence pour accompagner certains opérateurs d'importance vitale.

En France, certains opérateurs sont critiques pour la nation. Si ils subissent une attaque, ça sera critique pour le pays. On parle ici de grands équipementiers énergétiques, de sociétés de transport, de ports ou aéroports, de grands hôpitaux. Ces opérateurs, par leur criticité et par la loi, ont une obligation d'avoir un certain niveau de sécurité. Nous les accompagnons, avec notre outillage, pour les aider à prendre des décisions de sécurisation sur leurs systèmes d'importance vitale.

« Nous sommes sur une première levée, d'entre 3 et 5 millions d'euros »


Comment se porte votre société, EGERIE Software ?

Elle est née en 2016. Nous sommes positionnés sur l'analyse du risque cyber et le pilotage de la cybersécurité par les risques, ce qui parle aux décideurs. Nous sommes là pour créer le pont entre les décideurs et les opérationnels techniques.

Nous avons des locaux de représentation à Paris. Mais notre siège social et site de production est à Toulon. Nous sommes en pleine croissance et en pleine levée de fonds. Nous sommes leaders français sur ce domaine-là. L'objectif est de devenir le leader européen de la gestion du risque cyber.

Combien souhaitez-vous lever ?

Nous sommes sur une première levée, d'entre 3 et 5 millions d'euros, pour nous structurer. Nous sommes en phase de finalisation, et cela avance bien.

« Avec la 5G, une attaque ne mettra que quelques secondes à se propager »


La 5G et l'IoT sont des enjeux qui ont leur importance pour vous on imagine ?

C'est une préoccupation, car la 5G, au même titre que l'IoT, va révolutionner notre vie de tous les jours, donc nos systèmes d'information. Nous compterons des milliards d'objets connectés en 2021. La sécurité de ces objets n'est pas encore optimale. Avec la 5G, les attaques seront encore plus rapides. Une attaque, en 2017, mettait de longues heures à se propager sur plusieurs centaines de milliers de composants. Avec la 5G, ça pourrait être en quelques secondes.

Vous avez travaillé sur le smart port de la Marseille-Fos...

Nous sommes dans la même démarche que pour la 5G. Aujourd'hui, les bateaux embarquent des systèmes connectés, avec des systèmes de gouverne et de pilotage actionnés par des automates sur des réseaux. Ce sont des systèmes d'information. Le système est complexe. Et nous ne pouvons pas parler de port sécurité sans faire de la cybersécurité. Nous avons accompagné le port de Marseille dans la mise en place d'une stratégie, de la même façon qu'on le fait sur les grands événements sportifs, d'appréciation du risque cyber sur, par exemple, du terrorisme qui exploiterait certaines failles de sécurité des composants pour ouvrir des barrières, des conteneurs ou des routes, ou encore pénaliser l'accès des passagers à l'embarquement.

Quels sont les points forts de vos solutions EGERIE Software ?

Nous sommes la première plateforme à centraliser l'appréciation et la gestion du risque cyber de l'entreprise. La problématique que l'on a en termes de cybersécurité est que pendant des années, nous avons fait comme le château fort : nous avons construit des barrières, posé le château fort en hauteur pour se défendre en coupant les lignes de défense des attaquants. En cybersécurité, nous avons posé des firewall et construit un château fort électrique. Nous nous apercevons que si nous n'avons pas une vision à 360°, il reste toujours une faille de sécurité quelque part.

Bien que les grands comptes ont déjà une maturité s'agissant de la cybersécurité, ils ont eu cette approche un peu château fort. Nous, nous leur proposons, dans une plateforme, de regarder la globalité de ce qu'ils ont fait. Certaines briques peuvent être manquantes, mais il y a aussi le risque humain. Entre l'ordinateur et la chaise, il y a l'humain qui va cliquer sur la pièce-jointe qui va propager l'outil malveillant.

Nous avons aussi une plateforme collaborative. On ne peut pas faire de cybersécurité qu'avec des experts cybersécurité. Donc il faut des systèmes intelligents qui les suppléent pour les rendre encore plus à même de travailler sur ces sujets-là. Il faut aussi impliquer d'autres acteurs. Dans le métro, on entend que la sécurité est l'affaire de tous. Il faut que la cybersécurité le soit aussi.

Quels sont les gros comptes avec lesquels vous travaillez ?

Nous collaborons avec Orange, Airbus, le Ministère des Armées. Nous travaillons aussi avec des collectivités, des PME ou des ETI.

Merci Jean Larroumets pour votre temps, on vous souhaite bon courage pour la suite.

Merci beaucoup !
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page