«La sécurité procure une bonne sensation»

Tous deux sont des professionnels de la sécurité informatique: Peter Müntener, responsable sécurité du canton de Saint-Gall, et Michael Dobler, Chief Information Security Officer chez Abraxas. Au cours de ce double entretien, nous avons cherché en vain leurs failles de sécurité.

De Gregor Patorski · 19 novembre 2019

Deux professionnels de la sécurité informatique: Peter Müntener (g.) et Michael Dobler (dr.).
La visualisation des exigences de sécurité est souvent un sujet délicat Peter Müntener

Tous deux présentent le terme «sécurité» dans leur titre professionnel. Comment décririez-vous votre tâche en une phrase?

P. Müntener: Ma tâche consiste à m’occuper de la sécurité centrale de l’information dans le canton de Saint-Gall – dans la zone de tension entre les clients dans les administrations cantonales et communales et les différents fournisseurs de prestations. M. Dobler: Je me considère comme un élément de liaison entre le management et le service technique. Je dois servir de médiateur entre ces deux services, pour que les risques soient compris et correctement traités, et que les mesures de sécurité soient également mises en œuvre.

Quel est le défi auquel vous êtes le plus souvent confronté lors de la traduction de ce langage technique?

M. Dobler: Selon moi, c’est le rôle de médiateur: avec le management, je parle risques, niveau de dommage, probabilités de survenance. Avec le service technique, je parle règles, comptes, exigences techniques.

P. Müntener: Parfois, je me vois comme une sorte de peintre qui visualise un plan de construction ou d’architecture pour que le client puisse le comprendre. Dans le cadre de notre collaboration, Michael et moi réalisons un dessin technique; pour les clients, je dessine des «champs de fleurs» avec tout ce qui y rampe, y vole et pourrait présenter un intérêt pour eux. La visualisation des exigences de sécurité est souvent un sujet délicat

Lorsqu'on a sous les yeux des rapports de médias datant de l’été dernier, on a l’impression que les cyberattaques sur les entreprises en Suisse ont augmenté. Devons-nous nous attendre à davantage de cas de ce genre à l’avenir?

M. Dobler: Ces cas seront de plus en plus fréquents. La tendance est de mettre de plus en plus vite sur le marché des appareils tels que smartphones et tablettes, avec des logiciels qui ne sont parfois pas au point. A côté de cela, nous avons une architecture de CPU – à laquelle on n’a plus touché depuis qu’elle a été inventée – avec des points faibles connus. Nous avons donc des logiciels qui ne sont pas au point sur du matériel vulnérable. Cette combinaison permet aux hackers de se livrer à leurs attaques.

P. Müntener: D’une part, il existe de plus en plus de logiciels et de matériels qui sont plus vulnérables. En outre, les appareils fonctionnent de plus en plus en réseau, ce qui s’intensifiera encore avec la technologie 5G. Cela augmente tout simplement le potentiel d’attaques dangereuses. Et puis, il s’agit d’un commerce lucratif. C’est devenu un business model et, manifestement, cela permet de gagner beaucoup d’argent.

Si de telles cyberattaques deviennent de plus en plus fréquentes et de plus en plus sophistiquées, la question suivante se pose alors: que puis-je faire contre ça maintenant? De quelle façon puis-je protéger mon entreprise contre ces attaques?

M. Dobler: D’une part, je peux me mettre à niveau techniquement: Avec un SOC/SIEM, je peux examiner plus en détail tous mes systèmes et toutes mes applications, exploiter des fichiers journaux, connaître mon réseau et être ainsi en mesure de détecter des anomalies. D’autre part, je peux travailler à l’intérieur de l’entreprise avec des campagnes de prise de conscience, par exemple tests de hameçonnage, formations, quiz. On peut enfin se préparer à ce qu’on fera lorsque ça arrivera. Car ça arrivera. La question n’est pas de savoir si ça arrivera, mais quand.

P. Müntener: La prise de conscience fait partie des choses les plus importantes, car l’être humain est toujours le maillon le plus faible. Suivant l’évaluation des risques, on peut investir plus ou moins d’argent dans la technologie de sécurité. Mais souvent, on investit beaucoup trop peu dans le personnel. Certes, un collaborateur m’a dit récemment qu’il avait maintenant l’impression d’être trop sensibilisé, mais les résultats actuels montrent qu’on ne l’a jamais trop fait. Certaines personnes sont très prudentes lorsqu’elles traitent des informations liées à la sécurité, alors que d’autres traitent leurs données personnelles et parfois aussi les données d’affaires de façon plus imprudente. 

 

On peut enfin se préparer à ce qu’on fera lorsque ça arrivera. Car ça arrivera. La question n’est pas de savoir si ça arrivera, mais quand. Michael Dobler

Qu’attendez-vous d’Abraxas en tant que partenaire?

P. Müntener: De bons services à des prix qui correspondent aux prix du marché, ainsi qu’une manière d’agir proactive, simple et axée sur les clients. Tout cela doit aller de pair. Et enfin, je dois pouvoir être sûr que le partenaire fera bien son travail d’arrière-plan.

Que souhaitez-vous dans le cadre de la collaboration avec les clients?

M. Dobler: J’aimerais bien pouvoir échanger avec un plus grand nombre de clients, comme nous le faisons par exemple avec le canton de Saint-Gall, où nous parlons très souvent de sécurité et de défis. Cela aide également le client à comprendre. Pour nous, un système n’est peut être qu’un système parmi beaucoup d’autres, alors qu’il pourrait être vital pour le client. J’aimerais davantage le ressentir. Cette constatation aide à définir et à pondérer les risques et les mesures.

P. Müntener: Cet échange ouvert est important. Avoir un sparring-partner en face, pouvoir défier quelqu’un: «Cela ne constitue-t-il pas un problème? Ne pourrions-nous pas améliorer quelque chose ensemble à ce niveau?» J’ai fait ici de très bonnes expériences avec Abraxas et, évidemment, c’est quelque chose que j’apprécie.