Gregory Nou : du firewall étudiant à l’épreuve du feu

Gregory Nou est le CISO, comprenez Chief Information Security Officer, de l’année 2018. Passionné de photographie et amateur de piano”, il est en charge de la cybersécurité pour BGL - BNP Paribas. Il nous raconte son histoire et sa vision de la cybersécurité.

« J’ai rencontré la cybersécurité à différents moments de ma carrière. J’ai commencé lorsque j’étais étudiant. Ce n’était pas encore un cursus en tant que tel. Dans mon établissement, il y avait 3 campus, et il y avait une résidence étudiante avec un réseau dont il fallait s’occuper. J’ai pris cela en main, notamment en configurant les firewalls. Ce furent mes débuts en sécurité de l’information. Par la suite, je m’en suis un peu éloigné pour y revenir assez rapidement au travers de l’audit et ensuite au travers de postes spécifiquement liés à ce domaine. »

Comment voyez-vous l’évolution de la cybersécurité au Luxembourg ?

“Les initiatives telles que l’écosystème lancé par SECURITYMADEIN.LU sont précieuses. Cela amène toute une série d’entités à se parler, à l’intérieur du Luxembourg d’abord, mais de plus en plus aussi à l’extérieur.

Certains acteurs exportent leur savoir-faire, et cela nous permet aussi d’importer aussi des connaissances et des expériences diversifiées. Le secteur de la cybersécurité à Luxembourg atteint une masse critique, mais il faut réussir à continuer d’attirer des talents et à les conserver, afin de développer le vivier local.

Le développement des offres de formation en cybersécurité, notamment avec les cursus développés par l’Uni, devraient estomper progressivement le problème.”

Et comment faire pour renforcer l’écosystème ?

“Il faut surtout lui laisser du temps, c’est nécessaire pour trouver le bon équilibre entre ce que l’on est prêt à partager pour améliorer le niveau de sécurité général et ce que l’on doit garder pour soi. C’est une question de confiance, et cela prend naturellement du temps. Ce problème est universel ». Il y a aussi d’autres « forums d’échange » comme le Clusil ou l’ABBL qui le fait au niveau sectoriel.”

Les banques sont régulièrement la cible du phishing. Que peut-on faire contre ce fléau ?

« Des outils existent, mais ils ont du mal à être efficaces, principalement parce qu’il n’y a pas de consensus conduisant à une adoption généralisée. Le problème du phishing est inhérent à l’email, qui est un système de communication ancien, et non authentifié. Beaucoup de malwares utilisent donc ce canal. Ce n’est pas forcément endémique, mais très répandu et de mieux en mieux réalisé : on commence à voir du phishing rédigé dans un bon luxembourgeois. Il peut être parfois très difficile de bien les identifier. »

Faut-il davantage d’agilité en matière de cybersécurité ?

“D’une certaine manière, oui, mais pas pour le plaisir de faire de l’agilité. Nous devons trouver des moyens pour répondre plus efficacement aux alertes. Il faut travailler sur le monitoring, la détection, et surtout sur la remise en état. La résilience sera certainement un domaine dans lequel le secteur va également évoluer. Dans l’idéal, il faudrait qu’un incident de sécurité puisse être traité comme n’importe quel autre incident, avec un impact minimal pour les utilisateurs internes et les clients, en toute transparence évidemment.

Aujourd’hui, en cas d’incident « cyber » avéré, le réflexe est souvent de tout arrêter puis d’investiguer. Ce processus est long, parfois plusieurs jours. Un tel incident a donc un impact énorme pour l’entreprise et ses clients. Par exemple, le virus notPetya a fortement impacté l’activité de certaines entreprises pendant plusieurs mois. Dans le numérique, tout se complique par rapport au monde physique : lorsqu’on perd confiance sur un composant, il faut du temps pour identifier le périmètre qui est réellement impacté autour de ce composant et retrouver une confiance totale dans le système d’information…”

Quels sont les moteurs du changement ?

“Le changement passe notamment par l’apparition de nouveaux acteurs, telles que les startups qui sont assez rafraîchissantes sur leur façon de voir nos métiers. Par contre, elles ne sont pas toujours très matures sur certaines questions comme la sécurité ou la continuité d’activité. C’est quelque chose que nous allons pouvoir leur apporter, notamment au travers de l’Écosystème. Si nous sommes capables d’accompagner les FinTech, cela va être un gain énorme pour la place luxembourgeoise.

Enfin, en ce qui concerne la cybersécurité en elle-même, il faudra clairement dépasser le stade de la protection. Il faut désormais accepter d’avoir des incidents et se préparer à les résoudre avec fluidité et agilité.”

Un brin philosophe, Gregory Nou voit l’avenir avec confiance. L’intégrité est sa valeur cardinale. Comme une boussole dont l’importance se révèle lorsque la mer est démontée.