Global Security Mag : Quelle sera votre actualité lors du Forum International de la Cybersécurité 2023 ?

Alban Ondrejeck : ANOZR WAY a reçu le Prix de la Startup FIC 2023 face à 81 startups européennes, décerné par un jury constitué de RSSI/CISO de grands groupes, de fonds d’investissement, de représentants de l’ANSSI et des ministères de l’Intérieur et des Forces armées. Nous nous réjouissons de l’obtention de ce prix nous positionnant comme chef de file en cybersécurité de la gestion du risque humain. Notre approche et les solutions logicielles que nous apportons sont ainsi reconnues comme incontournables dans une stratégie de cyberdéfense efficace, à l’heure où 80% des failles de cybersécurité proviennent des failles humaines.
ANOZR WAY est également entré dans le classement des « 100 startups où investir en 2023 » de Challenges, dans la catégorie DeepTech.

Global Security Mag : Quels sont les points forts des solutions que vous allez présenter à cette occasion ?

Alban Ondrejeck : ANOZR WAY apporte des moyens correctifs aux équipes cyber/sécurité pour réduire les risques émanant d’une zone qui était jusque-là aveugle pour eux : la surface d’attaque humaine de leurs dirigeants et collaborateurs.
Nous donnons aux DSI-RSSI le point de vue des attaquants : un tableau de bord avec scoring des risques (fuites de données, phishing, compromission de compte, contournement MFA etc.), et l’identification des dirigeants et collaborateurs qui sont des « cibles faciles » pour prioriser leur protection, avec un monitoring continu.

Notre autre force est aussi de faire des collaborateurs de véritables acteurs de la cybersécurité en leur permettant, grâce à une application individuelle sécurisée, de découvrir et corriger leurs propres vulnérabilités cyber de leur sphère professionnelle et personnelle. On constate que les dirigeants comme collaborateurs sont très demandeurs et le perçoivent comme un véritable bénéfice pour leur propre protection.

Enfin, nous sommes la seule plateforme totalement conforme RGPD, qui repose sur une technologie 100% propriétaire et souveraine. Nous avons beaucoup investi en R&D, c’est ce qui nous permet notamment de pouvoir évaluer et monitorer la surface d’attaque humaine de milliers de personnes au sein d’une entreprise en automatisé.

Global Security Mag : Cette année le FIC aura pour thème le Cloud Computing, quelles sont les principales cyber-menaces qui pèsent sur le Cloud ?

Alban Ondrejeck : On recense un nombre important de menaces. On citera notamment la problématique de la souveraineté des données. En utilisant le Cloud, on perd cette maitrise sur les données hébergées. Il demeure important de savoir où sont stockées les données et qui peut y accéder. La dématérialisation des supports d’enregistrement (serveurs, etc.) est aussi une menace pesant sur le Cloud. Et enfin, l’usurpation de compte ainsi que le vol de données constituent de réelles menaces si l’entreprise ne met pas en place les mesures de cybersécurité appropriées (gestion des identités, MFA, réseau sécurisé).

Global Security Mag : Quels sont les avantages qu’autorise le Cloud Computing ?

Alban Ondrejeck : Les solutions de Cloud Computing, de type AWS, OVH, etc., bénéficient d’une expertise, d’équipes d’experts à l’écoute, d’infrastructures et d’outils déjà éprouvés. Elles font preuve d’une souplesse d’utilisation et s’avèrent être une vraie opportunité pour les petites structures car demandent peu d’investissement pour démarrer leur activité. Ces services peuvent accompagner la croissance de l’activité grâce à la scalabilité de leurs infrastructures et à leur modèle commercial de pay-per-use. Enfin, l’utilisation de services managés (bases de données, gestion réseau, gestion des droits) est un atout considérable dans l’utilisation de solutions de Cloud Computing.

Global Security Mag : Comment les technologies doivent-elles évoluer pour contrer ces menaces ?

Alban Ondrejeck : Il est impératif de mettre en place des mesures d’authentification fortes pour garantir un contrôle des accès utilisateurs et contrer les cyber-menaces. Une granularité fine dans l’attribution des droits permet également de limiter le périmètre de responsabilité de chaque utilisateur. La sécurisation des réseaux est aussi importante, à savoir l’utilisation systématique de protocoles d’échanges sécurisés tels que SSH ou le recours aux VPN pour accéder aux ressources sensibles de l’entreprise.

Global Security Mag : Selon-vous, quelle place l’humain peut-il avoir pour renforcer la stratégie de défense à déployer ?

Alban Ondrejeck : 8 attaques cyber sur 10 ciblent les dirigeants et collaborateurs. Les pirates ont bien compris que l’humain était une porte d’entrée plus simple.
A l’insu des collaborateurs, de nombreuses informations sur eux sont en libre accès : fuitées sur le darkweb consécutivement à d’autres cyberattaques (hôpitaux, collectivités, e-commerces, etc.), ou sur les réseaux sociaux par négligence. Nous avons d’ailleurs analysé que 66% des dirigeants ont au moins un réseau social personnel ouvert publiquement (Facebook, Instagram etc.), permettant ainsi d’offrir aux attaquants des informations par nature privées, sensibles.
Il est donc crucial que chaque individu maitrise son empreinte numérique et soit conscient de l’existence de ses données et comment elles sont exploitées par les attaquants.
C’est l’approche que nous proposons avec les solutions logicielles ANOZR WAY, pour permettre à chaque collaborateur d’avoir une vue sur ses données exposées/fuitées et d’être guidé pour réduire concrètement leur propre exposition cyber. La somme des remédiations individuelles permet ainsi de diminuer la surface d’attaque humaine de toute l’entreprise.

Global Security Mag : Quel message souhaitez-vous transmettre aux RSSI ?

Alban Ondrejeck : Les RSSI avec qui nous discutons, qui deviennent nos clients, nous disent souvent qu’ils se sentent démunis pour gérer le « risque humain », par exemple quand des collaborateurs exposent trop de données personnelles sensibles sur leurs réseaux sociaux.
Comme cela touche à leur sphère personnelle et non celle de l’entreprise, c’était en dehors de leur périmètre, alors même que les attaquants exploitent ces vulnérabilités pour les cibler et, par eux, atteindre l’entreprise.
Le shadow IT, l’utilisation d’un seul et même mot de passe peu sécurisé sur de multiples sites indifféremment entre le « pro » et « perso »… toutes ces pratiques personnelles impactent l’entreprise. Il est aujourd’hui essentiel de considérer le collaborateur dans son ensemble, de la même façon qu’un attaquant, et de lui apporter une protection de chaque instant même quand il passe la porte du bureau.

Jusqu’alors, les RSSI abordaient aussi l’humain en cyber essentiellement par le prisme de la sensibilisation. Ils en mesurent vite les limites : après les sessions de formations les collaborateurs oublient vite, aussi parce que le propos est généraliste et qu’ils ne se sentent pas concernés. Alors que quand ils découvrent leurs propres vulnérabilités, toutes les informations qu’un attaquant peuvent trouver sur eux, c’est très engageant et ils sont tout de suite enclins à passer à l’action.
Il est essentiel de passer à une sensibilisation active et personnelle, « personnelle » au sens d’individualisée et au sens de la protection de sa sphère privée.

La remédiation est possible, nous pouvons traiter les vulnérabilités humaines avec la même approche que les vulnérabilités techniques.