Steven Vynckier: ‘Nous avons à présent trop de fournisseurs, trop d’outils, trop d’alertes, mais aussi trop peu de personnel qui s’en occupe’
La sécurité vit une époque stressante, maintenant qu’une usine par ici et une université là-bas voient leurs systèmes IT paralysés. Data News a rencontré Steven Vynckier, CEO de SpotIT, pour parler tendances en matière de sécurité, nuages et réseaux transparents.
SpotIT est l’un des rares intégrateurs de sécurité belges se focalisant sur le réseau et la sécurité. Un marché en croissance, selon Vynckier, même si cela va de pair avec des problèmes spécifiques “L’oiseau rare du futur, ce sera le ‘dev opser’.”
Ces dernières semaines, on a enregistré pas mal d’attaques au rançongiciel. Est-ce bénéfique pour votre entreprise?
Steven Vynckier: Oui et non. Il est toujours désolant qu’il y ait du ransomware en circulation. Nous tentons précisément d’empêcher que des entreprises soient attaquées. Le fait est que durant les semaines qui suivirent ces attaques, notre téléphone est devenu chaud bouillant. Nous n’aimons pas trop cela, mais quand ça arrive, cela provoque un boost de la prise de conscience de l’importance de la sécurité.
Peut-on parler aujourd’hui du rançongiciel comme d’une tendance? Cela prend-il de l’ampleur?
Vynckier: La rançongiciel ne fait que progresser, parce que le modèle de rentrées sous-jacent est important. Aussi longtemps que le modèle de rentrées restera grand et que des attaques seront lancées de n’importe quel coin du monde, le phénomène ne fera que croître. Je ne m’attends du reste pas à un changement dans l’immédiat. La raison pour laquelle on en entend parler davantage maintenant, est due au règlement GDPR et à l’obligation de déclaration qu’il stipule. Avant, il ne fallait pas nécessairement déclarer qu’on était agressé. Aujourd’hui, lorsque tout est paralysé, il est malaisé de se taire. Avant, si les entreprises pouvaient passer une attaque sous silence, elles préféraient ne rien dire. Ce n’est plus possible à présent.
Les firmes de sécurité évoluent des solutions ponctuelles à plus d’infrastructures. Cela influence-t-il vos activités?
Vynckier: L’évolution vers une architecture intégrée est une étape logique, précisément parce qu’avant, il y avait une solution ponctuelle pour chaque problème. Il y a encore et toujours 2.500 constructeurs, qui proposent un produit de sécurité spécifique. Or ces produits ne ‘se parlent’ pas. Si on y ajoute le fait qu’il y a aussi un manque de talent, on se rend compte qu’il y a un problème. Tous ces produits émettent des avertissements qui doivent être examinés, mais il n’y a pas assez de personnel pour ce faire. L’avantage d’une architecture de sécurité, c’est qu’un même fabricant fournit un pare-feu, un antivirus et par exemple aussi une solution CASB (‘Cloud Access Security Brokers, ndlr.) et que tous ces produits communiquent entre eux. Avant que les différentes alertes n’aboutissent chez l’opérateur de sécurité, elles sont déjà mises en corrélation, de sorte qu’il y en ait nettement moins et que celles qui restent, soient à coup sûr détectées et bloquées. Ce genre d’avertissement est aussi davantage précis et a par exemple déjà été vérifié par le pare-feu et l’antivirus, afin qu’on sache plus précisément dans quel PC ou dans quel secteur du réseau le problème peut se manifester. Cela allège le travail de l’équipe de sécurité.
Est-ce une bonne nouvelle pour vous? En tant que fournisseur de services, SpotIT se charge d’une grande partie de la prise en charge. Cela ne va-t-il pas à contrecourant de vos activités?
Vynckier: Nous sommes ravis que la technologie évolue dans le sens actuel, parce que nous avons-nous-mêmes des difficultés à trouver du personnel. Il y a une pénurie dans chaque domaine du marché. Dans ce sens, l’automatisation est une valeur ajoutée et pas une menace en soi.
Quels clients ciblez-vous?
Vynckier: Les entreprises moyennes à grandes. 250 collaborateurs, c’est la limite inférieure, alors que notre principal client occupe 18.000 personnes. Nous, nous nous situons entre les deux. La taille est ici moins importante que l’espace que les clients accordent au réseau et à la sécurité. Nous avons par exemple un client anversois, qui ne possède que 25 collaborateurs, mais qui est actif dans les diamants et qui accorde donc beaucoup d’importance à la sécurité.
On parle souvent de la sécurité comme quelque chose d’IT-technique, mais en fait tout débute au départ du métier. Il faut se demander quels sont les risques pour l’entreprise, et cela peut être très varié. Pour certaines entreprises, il peut s’agir d’un ternissement de son image, alors que d’autres sont spécialisées dans la recherche et le développement et ne souhaitent pas que leurs dessins CAO soient volés. D’autres encore veulent être sûres que leur production ne soit pas paralysée. Chaque entreprise a ses ‘bijoux de la couronne’. C’est de là qu’il faut partir et non pas du simple ‘besoin d’un pare-feu’.
Chaque entreprise a ses ‘bijoux de la couronne’. C’est de là qu’il faut partir.
Le nuage joue-t-il aussi un rôle dans ces plans de sécurité?
Vynckier: C’est là l’un des principaux points auxquels les entreprises ne pensent pas, lorsqu’elles passent au nuage. Elles estiment qu’elles sont en sécurité, si elles mettent tout dans le nuage. Tel n’est pas le cas. Si vous invoquez un serveur, il est alors ouvert sur internet, et il faut le protéger. Evidemment, vous pouvez le faire vous-même sur la plate-forme. AWS, Azure et d’autres proposent par exemple des pare-feu virtuels, mais vous pouvez aussi décider de le sécuriser à partir de votre propre environnement. Vous avez donc le choix, mais l’approche est différente.
Il en va de même du reste pour la protection de vos données. C’est faux de croire que si vos données se trouvent dans le nuage, votre entreprise n’en est plus responsable en vertu du GDPR. En fin de compte, le nuage stocke vos données, mais c’est vous, le propriétaire, qui en êtes responsable. Il vous faut aussi les sécuriser efficacement. Ce n’est pas parce vous emménagez dans le nuage que vos problèmes sont résolus.
Comment aborder cette sécurité dans le nuage à partir de l’entreprise même?
Vynckier: Cela débute par la sécurité du réseau, indépendamment du nuage. Le fondement est de connaître les appareils et les utilisateurs. Il s’agit de les identifier et de les authentifier tous de manière correcte. C’est la base même. La façon de s’y prendre est fonction du client, de l’activité, des produits existants ou pas, et de l’avancée de l’entreprise au niveau de sa stratégie ‘cloud’.
Pour tout protéger, vous devez savoir ce que vous avez, où il y a éventuellement des faiblesses et qui peut s’authentifier où. Si vous cartographiez correctement le tout, peu importe que les données se trouvent dans le nuage ou qu’un utilisateur travaille chez lui ou au bureau, la sécurité doit être telle qu’elle permette de travailler à tout moment et partout.
Il y a l’existence d’un pare-feu ‘cloud’, ce qui signifie qu’il ne faut plus investir dans un pare-feu physique dans le centre de données. En lieu et place, on signale aux utilisateurs, au réseau interne et aux télétravailleurs qu’ils doivent tous passer par le pare-feu, quoi qu’ils fassent. S’ils veulent se rendre sur l’intranet ou sur le web mondial, ils passeront toujours par le pare-feu ‘cloud’. Il devient ainsi aussi plus facile de voir qui fait quoi. Comme c’est uniforme, il n’y aura plus non plus besoin de différentes plates-formes, telles un VPN pour les travailleurs à domicile. Tout le monde passera toujours par le même système. Lorsque vous vous connecterez à votre ordinateur portable d’entreprise, vous vous authentifierez sur ce pare-feu. Et si vous voulez encore augmenter la sécurité, vous pourrez y ajouter une vérification à plusieurs facteurs.
Ce n’est pas parce que vous emménagez dans le nuage que vos problèmes sont résolus.
Cela rejoint-il le ‘zero trust’, le concept de sécurité, par lequel on ne fait confiance à rien et à personne?
Vynckier: ‘Zero trust’ a plusieurs définitions. Pour moi, cela signifie qu’on ne fait effectivement pas confiance à l’ensemble des utilisateurs et des appareils du réseau, à moins qu’il n’y ait une bonne raison pour cela. Par exemple s’ils s’authentifient selon un contrôle à deux facteurs. Telle est la position de départ,
qui fonctionne avec une liste blanche. Par définition, on ne fait confiance à personne, sauf si les gens figurent sur une telle liste, parce qu’ils ont été contrôlés. Voilà comment fonctionne ‘zero trust’. Si vous voulez pratiquer de la sorte, vous devez aussi savoir ce qui se trouve dans votre réseau. Et quand je dis tout, c’est tout. Il convient alors de virtualiser autant que possible pour en arriver à ce qu’on appelle un ‘software defined networking’, où tout est piloté par la voie logicielle. Le degré de sécurité est ainsi nettement plus élevé, et c’est aussi plus convivial pour les utilisateurs mêmes.
Comment voyez-vous l’évolution du marché?
Vynckier: Nous avons à présent trop de fournisseurs, trop d’outils, trop d’alertes, mais aussi trop peu de personnel qui s’en occupe. Il faut changer cela. ‘Zero trust’ est une réponse possible. La convergence des outils est aussi envisageable. Je m’attends à ce que les producteurs fassent encore plus de rachats. Il y aura aussi davantage d’entreprises qui cibleront l’architecture sécuritaire. On assistera encore à beaucoup de rachats, afin de pouvoir proposer cette architecture dans sa totalité.
Et puis, il y a aussi la couche qui est la nôtre, les intégrateurs. Ici, la sécurité et le réseau forment une niche à laquelle réagir. Je crois fermement que cette niche doit continuer d’exister et que ce n’est pas quelque chose qu’on peut facilement intégrer à un fournisseur tous azimuts. Ce genre de fournisseur a évidemment ses atouts tels le ‘one stop shop’, mais il doit être con rôlé par un acteur indépendant, comme nous. On ne peut être à la fois garde-chasse et braconnier.
SpotIT est l’un des rares intégrateurs de sécurité belges. Comment envisagez-vous le futur de votre entreprise?
Vynckier: Nous sommes aujourd’hui le principal intégrateur de sécurité indépendant en Belgique. Sur ce marché intermédiaire, il n’y a pas grand-chose qui bouge. D’un côté, il y a les très grands tels Dimension Data et Proximus, par exemple, et de l’autre les plus petits, mais sur le marché intermédiaire, il n’y en a guère.
Comment allons-nous évoluer? Le marché croît fortement, et nous suivons le mouvement. En 2020, nous voulons aussi accomplir nos premiers pas en dehors de la Belgique. Le NOC (Network Operations Center) et le SOC (Security Operations Center) opèrent à distance. En principe, peu importe dès lors si le client se trouve en Belgique, en Malaisie ou aux Etats-Unis. Nous sommes donc en train de réfléchir à la façon d’étendre notre modèle, tout en restant fidèles à notre niche. Nous avons interrogé nos clients, dont beaucoup jouissent d’une capacité décisionnelle locale, mais qui sont installés dans d’autres pays. Ce faisant, nous fournissons dès à présent des services dans 88 pays sur cinq continents à partir de la Belgique. Nous avons demandé à ces clients où ils trouveraient intéressant que nous nous établissions. Nous sommes en train de passer les réponses en revue. L’étranger est pour nous une opportunité sur le plan commercial, mais il faut que nous y trouvions du personnel et être disponibles 24 heures sur 24. En Belgique, on peut trouver une solution en travaillant par pauses, mais on peut aussi ouvrir un hub sur la côte ouest des Etats-Unis ou en Malaisie par exemple.
Streamer: Nous pourrions croître plus nettement si nous pouvions trouver du personnel ad hoc.
Est-ce vraiment un problème que de trouver du personnel ici?
Vynckier: C’est un gigantesque problème, qui ne peut être sous-estimé. On l’observe tant chez nos clients que chez nous. Nous pourrions croître plus nettement, si nous pouvions trouver du personnel ad hoc. Comme nous ne le trouvons pas, nous le préparons nous-mêmes. L’oiseau rare du futur, ce sera le ‘dev opser, à savoir la personne qui est à même de regrouper l’application et l’infrastructure. Si un client veut ajouter une règle spécifique à un pare-feu, il doit remplir un document et nous l’envoyer. Nous ajoutons alors cette règle, afin qu’elle soit exécutée sur la plate-forme. Tout ce flux peut être automatisé, mais il convient alors de créer un script qui peut s’en charger entièrement. De plus, en cours d’attaque, on a besoin de quelqu’un qui réunit des informations des diverses sources et plates-formes, pour voir où se situe le problème. C’est ce que font aussi ‘dev net’ et ‘dev sec ops’.
Nous investissons dans ces plates-formes, mais aussi dans la formation du personnel. Nous disposons d’une équipe de sécurité de plus de 100 personnes, mais nous avons aussi notre Academy. En 2018, nous avons ainsi recruté neuf néo-diplômés en IT et les avons formés six mois durant. L’année passée, nous avons, via ce programme, engagé 19 personnes que nous sommes en train de former. En outre, nous disposons également de trois non-Européens, deux réfugiés politiques et une femme entièrement formée à la sécurité, mais qui n’a pu trouver du travail dans son pays d’origine, parce qu’elle est une femme. Ils travaillent à présent pour nous, et nous examinons la possibilité de faire appel à d’autres personnes de ce type.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici