Piratage, hameçonnage, rançongiciel, virus… Combien une cyberattaque coûterait-elle à votre entreprise ? La question, selon Florian Ecard, vaut, littéralement, pour tout dirigeant de prendre le temps du calcul.
Sécurité offensive
Fondateur de Hackmosphere, start-up fraîchement installéa au pôle Alpha de Sophia Antipolis, il est ce que l’on appelle un hackeur éthique, à savoir un cyberpirate bienveillant. Dans le secteur, on parle d’expert en sécurité offensive. "Dans la cybersécurité offensive, notre but est de trouver les failles qui n’ont pas été détectées par les ingénieurs défensifs, explique-t-il. On va donc vraiment simuler ce que fait un vrai hacker, avec les mêmes techniques, les mêmes outils, les mêmes capacités… mais à la fin, on adresse un rapport et des recommandations au client."
Un client qui, au-delà de protéger son activité, peut alors valoriser la robustesse de son système informatique auprès de ses propres clients. La cybersécurité devient un véritable levier de compétitivité.
Degré de dépendance à l’informatique
Ces simulations sont des "pentests", des tests d’intrusion en français. "Typiquement, une petite structure de 30 ou 40 salariés qui veut devenir sous-traitante de la SNCF ou d’Airbus doit obligatoirement avoir fait ces tests, souligne Florian Ecard. Beaucoup de clients viennent précisément me voir pour cela." Mais, avant tout "pentest", l’entreprise doit faire une analyse de risques. "Il lui faut connaître son niveau de dépendance à l’informatique."
Ses clients sont essentiellement français (Marie Blachère, But…) mais la start-up a également travaillé en Libye, pour la Banque centrale, à Madagascar ou en Italie.
À l’assaut de plus grands
Hachmosphere compte à ce jour une équipe de 4 personnes chevronnées en matière de cybersécurité. Mais Florian Ecard veut accélérer, avec une croissance de 30 % par an, pour atteindre les 10 collaborateurs experts dans les cinq ans. "Cela nous donnerait toute légitimité pour répondre aux grands groupes de plus de 5 000 salariés, qui ont une certaine maturité en cybersécurité et des personnes dédiées qui réalisent en interne plusieurs pentests par an. Aujourd’hui, notre valeur ajoutée auprès d’eux est donc relativement limitée, mais avec ces entreprises, on vise du Red team."
Equipe rouge face à équipe bleue
L’équipe rouge, en français… face à l’équipe bleue. Il s’agit là de lancer un assaut fictif sur la sécurité d’un système informatique : les premiers attaquent, les seconds doivent défendre, c’est-à-dire détecter et stopper l’intrusion. Contrairement au pentest qui est ponctuel et sur un périmètre donné (cloud, site internet, application…), le Red team va plus loin et étale sa mission sur plusieurs semaines ou mois. Et il est imprévisible. Les collaborateurs ne sont pas informés en amont pour que le test demeure ultra-réaliste.
466 000 euros… au moins
Selon l’Anssi, l’Agence nationale de la sécurité des systèmes d’information, une cyberattaque coûte en moyenne 466 000 euros à une PME française. Un chiffre en deçà de la réalité car il ne prend en compte que les coûts directs. Les impacts indirects — interruption d’activité, perte de clients, destruction de données, atteinte à la réputation — peuvent sérieusement faire gonfler la note.
