Cybersécurité : les failles logicielles et NIS2 bouleversent les entreprises

Pour inaugurer notre toute nouvelle émission L’Angle d’Attaque, Me. Marc-Antoine Ledieu n’a pas gardé sa langue dans sa poche. L’avocat en droit numérique et RSSI a dénoncé de nombreux problèmes, notamment les pratiques de certains cabinets de conseil.

Marc-Antoine Ledieu a inauguré notre émission, où nous donnons la parole aux experts pour parler cybersécurité, business et stratégie. Pour cette première édition, notre invité est venu raconter ses histoires, partager ses réflexions et anticiper les enjeux majeurs de demain.

‍

Affaire judiciaire : le pentester condamné malgré ses intentions

‍

Par son parcours atypique, Marc-Antoine Ledieu a de nombreuses anecdotes à délivrer. Avant toute chose, il est revenu sur une affaire judiciaire marquante : un pentester qui a un peu trop bien fait son travail.

Ces derniers mois, un service de pompier départemental a exposé sur le web, indexé sur Google, la mire de son système d’information. Pour dénoncer cette faille, un pentester est intervenu spontanément, s’introduisant dans le système sans prévenir.

À lire aussi : Fuites de données : les télécoms français (Free, Bouygues, Orange, SFR) face à une crise de confiance

« Dans ce cas, ça a été une perquisition à 6 heures du matin, garde à vue, saisie complète de tout le matériel informatique du pentester. Il est finalement passé en jugement en juin dernier. Il a été condamné à 9 mois de prison avec sursis et des dommages et intérêts », explique Marc-Antoine Ledieu.

La justice a ainsi condamné un bon samaritain qui voulait révéler une faille. « Le tribunal a manifestement voulu montrer l’exemple. La dernière jurisprudence qu’on avait, c’était l’affaire Bluetouff en 2014 », précise l’invité.

‍

Une faille simple mais ignorée par le service d’urgence

‍

Or, l’action du pentesteur fut d’une simplicité déconcertante : le service d’urgence n’avait pas changé les identifiants et mots de passe par défaut. « Ce service d’urgence avait laissé une porte avec les clés sur la serrure. Le pentester n’avait pas à forcer l’accès. Comment peut-on appeler ça un acte pénal ? », confie Maître Ledieu.

‍

Justice et manque de formation des juges en cybersécurité

‍

Selon lui, dans le monde physique, un cambrioleur qui entre avec la clé commet une faute civile, pas pénale. « Je vais le dire brutalement : les juges ne sont pas formés pour juger ce type d’affaire. Dans ce département rural, pour le juge, le fait que le pentester s’en soit pris à un service d’urgence était déjà un motif de condamnation », conclut l’avocat.

‍

Logiciels et vulnérabilités : tous des gruyères à des degrés divers

‍

Marc-Antoine Ledieu a ensuite évoqué l’obligation légale de notifier ses vulnérabilités aux autorités de contrôle, une initiative qu’il considère brillante. « Dévoiler une vulnérabilité à une autorité ne signifie pas que c’est public », précise-t-il.

‍

L’importance de notifier les vulnérabilités aux autorités

‍

Il déplore cependant la réticence de certaines entreprises à se dénoncer spontanément : « Personne n’a envie de dire "nous avons été très mauvais, on vous le dit spontanément". Ça n’arrive jamais. »

‍

La sécurité des logiciels : un constat alarmant

‍

Selon lui, presque tous les logiciels utilisés aujourd’hui sont vulnérables. « Tous les logiciels qu'on utilise, absolument tous, sont des gruyères à des degrés divers », affirme-t-il. Mais lorsqu’une entreprise informe une autorité comme l’ANSSI, « elle ne devrait pas se faire poutrer tout de suite », s’exclame-t-il.

‍

NIS2 : un bouleversement majeur pour les entreprises européennes

‍

La directive NIS2 de l’Union européenne, adoptée en 2022, impose de nouvelles obligations aux entreprises, les incitant à renforcer leur cybersécurité, à réaliser des audits réguliers et à signaler rapidement les incidents. Pour Marc-Antoine Ledieu, cette directive « révolutionne le système ».

‍

De NIS1 à NIS2 : des obligations accrues pour toutes les entreprises

‍

« On va passer en France de 300 à 500 entités NIS1 à dix à trente mille entités NIS2, plus tous les prestataires. Cela représente un véritable bouleversement dans l’écosystème », explique le RSSI.

‍

La vigilance envers les prestataires et sous-traitants

‍

Chaque entreprise devra également veiller à ce que ses prestataires respectent les mêmes règles de sécurité : « On ne va plus attaquer le château fort qui s'est protégé, on va attaquer celui qui a le droit de rentrer : le prestataire ».

‍

Une mise en œuvre longue mais nécessaire

‍

Cependant, la directive prendra du temps à être pleinement mise en œuvre, notamment en France, où certaines petites entités résistent par « méconnaissance, paresse, incompétence… ». Malgré tout, l’avocat se réjouit de l’uniformisation européenne : « Si on ne conçoit pas la protection avec un minima pour tout le monde au niveau européen, ça ne marchera pas. »

‍

Cabinets de conseil et conformité : des solutions imparfaites

‍

Pour terminer, Marc-Antoine Ledieu a évoqué les cabinets de conseil qui accompagnent les entreprises dans leur mise en conformité. Selon lui, ces cabinets sont souvent défaillants : « Les juristes détestent la technique, les RSSI disent "ce n’est pas moi", et tout le monde se renvoie la patate chaude. »

À lire aussi : Red Team : comment ces tests d’attaque réveillent les comités exécutifs et renforcent la cybersécurité

De plus, certains cabinets poussent à la consommation d’heures sans toujours comprendre les aspects techniques. « De temps en temps, je tombe de ma chaise quand j'entends l’énormité de la bêtise de ce que font certains cabinets », conclut-il.

Une façon percutante de clore cette première édition de L’Angle d’Attaque, en laissant le lecteur réfléchir aux véritables enjeux de la cybersécurité et de la conformité.





Pour retrouver tous nos autres articles, consultez la bibliothèque complète de nos articles.

Pour ce qui concerne nos émissions, dont est tiré cet article, vous pouvez consulter notre chaîne YouTube.