« En 2022, le momentum est clairement aux attaquants », souligne Jean-Noël de Galzain, président et fondateur de Wallix lors d’un évènement organisé dans ses locaux mardi dernier. Et d’ajouter, « le problème en matière de sécurité, on ferme les portes, mais on laisse les fenêtres ouvertes ». Il faut donc changer de paradigme pour aller vers une approche zero trust avec au cœur la gestion des identités. Un secteur que connait bien Wallix en proposant des offres de PAM (gestion des accès à privilèges) et qu’il souhaite élargir à l’ensemble des salariés de l’entreprise. Pour en parler, le spécialiste a demandé à Benoît Fuzeau, RSSI de Casden Banque Populaire de partager son expérience dans ce domaine.

« Les identités sont un vrai sujet au sein des entreprises et disposer d’un AD (Active Directory) très maîtrisé est très important », explique-t-il. Pour lui, il y a une multiplicité de comptes, des stagiaires, des métiers, des développeurs, etc. Il est donc nécessaire de « faire un focus sur les comptes à privilège », rappelle-t-il. Pour autant, il faut avoir « une approche par les risques » pour en parler aux dirigeants, et « non un discours technique », alerte le responsable. Une fois ces bases fixées, il a orienté la mise en place du PAM autour de deux axes. « Le premier était la maîtrise des prestataires dont les missions durent plus de 3 jours. Ceux-ci passent par le bastion avec une authentification forte », souligne Benoît Fuzeau. Il se souvient « d’un prestataire qui était à l’origine d’un incident de production et la solution PAM avec la fonctionnalité vidéo pour rejouer une connexion a démontré le problème ». Le second axe de travail est « l’heure à laquelle les utilisateurs se connectent, notre périmètre est français donc la connexion en dehors de certaines heures sont considérées comme suspectes », glisse le RSSI.

Un escape game digital et un cyberscore interne en vue

Plus globalement, il est revenu sur les bonnes pratiques en matière de sécurité. Sur l’approche zero trust, il est cash, « je prête ma confiance, je ne la donne pas, ce qui signifie qu’en cas de soucis, je peux la reprendre ». Nonobstant, il reste un fervent défenseur de la sensibilisation des utilisateurs à travers des tests de phishing et des formations. Mais il va plus loin à travers une démarche originale, « nous allons réaliser un escape game digital, en se mettant dans la peau d’un pirate qui crée un mail de phishing ». La sensibilisation passe aussi par la tenue systématique d’exercice de crise, « au même titre que les alertes incendie » pour se préparer à être plus rapide face à une crise cyber.

Enfin, interrogé sur la responsabilité numérique de l’entreprise qui serait le pendant digital du RSE, il salue la démarche tout en restant pragmatique. Il pousse en avant par exemple l’achat de solutions françaises (comme Wallix), mais constate dans le même temps que sur le plan collaboratif et bureautique, « il y a peu d’alternatives européennes ». Par ailleurs, il regarde avec intérêt la mise en place du cyberscore, un équivalent du nutriscore pour la cyber, « facile à comprendre par l’utilisateur ». Il envisage de travailler sur cet axe et de créer « un cyberscore en interne ». A suivre…