Sébastien Massé, directeur général de Monaco Cyber Sécurité, seule entreprise privée de la principauté à avoir développé un centre de cyberdéfense, hormis celui de l’agence monégasque de sécurité numérique (AMSN), explique à Monaco Hebdo les évolutions du marché de la sécurité numérique. Interview.
La cybersécurité à Monaco, c’est un secteur concurrentiel ?
Le secteur est en effet assez concurrentiel, notamment sur la partie conseil aux entreprises. Pour compléter notre gamme de services, nous avons donc souhaité développer un centre de cyberdéfense, le seul en principauté en dehors de celui de l’agence monégasque de sécurité numérique, l’AMSN, ce qui nous permet de proposer une expertise unique à nos clients.
Quelle est votre expertise chez Monaco Cyber Sécurité ?
Nous sommes une structure monégasque, une filiale du groupe Monaco Digital. Nous développons notre activité de cybersécurité depuis une dizaine d’années, d’abord avec des activités d’audit et de conseil, notamment l’accompagnement, la sensibilisation, et l’évaluation de la maturité des entreprises. Depuis cinq ans, nous avons ajouté une partie opérationnelle avec la création d’un centre d’opérations de sécurité et d’un centre de réponse à incident, regroupés sous un centre de cyberdéfense. Cela nous permet de surveiller les infrastructures de nos clients, avec des équipes opérationnelles 24/7.
Pour quel type de clients travaillez-vous ?
Nous travaillons avec des entités gouvernementales, des opérateurs d’importance vitale, et tout le secteur privé. En tant qu’entreprise monégasque, nous bénéficions d’une forte diversité de secteurs concentrée sur 2 km² : transport, énergie, télécoms, banques, etc. Nous intervenons également en France et à l’international, notamment par l’intermédiaire de nos clients monégasques. Nous comptons aujourd’hui plus de 150 clients, dont une cinquantaine sur des services opérationnels et les autres en accompagnement « responsable de la sécurité des systèmes d’information » (RSSI) pour renforcer leurs équipes.
Quels sont les défis et les contraintes actuelles de vos clients ?
La menace cyber évolue constamment, notamment avec l’utilisation de l’intelligence artificielle (IA) des deux côtés : des victimes et des attaquants. L’IA permet aux attaquants de complexifier leurs actions et elle oblige les entreprises à intégrer ces outils pour mieux se défendre. Notre rôle est aussi de les accompagner dans cette évolution. Le défi humain est également essentiel, avec la formation des ingénieurs qui sortent d’école, mais aussi celle des collaborateurs en entreprise pour qu’ils soient en mesure de détecter les attaques. Les entreprises doivent aussi être préparées à faire face à des attaques de désinformation et à des campagnes de “phishing” de plus en plus sophistiquées, adaptées à leur environnement.
« La réglementation monégasque a fortement évolué ces dernières années, en se calquant sur ce qui a été fait en Europe et en France »
Quel est le profil des victimes et des attaquants ?
Les entreprises les plus touchées manipulent des données sensibles, les attaquants cherchant à monétiser leurs attaques, quelle que soit la taille de l’entreprise. On observe plusieurs types d’attaquants, avec, par exemple, ceux qui visent le gain financier et les militants politiques, qui cherchent à manipuler ou à désinformer. Les groupes d’attaquants fonctionnent comme de véritables mini-entreprises, avec des ramifications internationales. C’est vraiment ce qui ressort de nos échanges au sein du TF-CSIRT [pour Tass-Force – Computer Security Incident Response Team — NDLR], un groupe international de centres de réponse aux incidents, dont nous sommes membres, où nous partageons des informations sur les menaces et les groupes d’attaquants.
La dernière attaque menée à l’encontre de Free (1) le 17 octobre 2024, nous rappelle que tout le monde est vulnérable ?
Même les grands groupes, malgré leurs moyens, doivent maintenir une hygiène informatique rigoureuse et s’assurer de la sécurité de leurs partenaires. Nous imposons aussi des mesures de sécurité aux prestataires tiers avec lesquels nous travaillons, pour garantir une sécurisation optimale des données de nos clients. Lorsqu’une entreprise confie des données d’entreprises à l’un de ses prestataires, comme une agence de communication ou de marketing, par exemple, rien ne garantit que ce prestataire garantisse un niveau de sécurité équivalent, en effet. Ainsi, au-delà de sensibiliser ces prestataires, il est parfois nécessaire de leur imposer des mesures de sécurité, pour que le client final ait une garantie sur la sécurisation de ses données.
Il y a un équilibre à trouver entre sensibiliser et imposer des bonnes pratiques ?
En Europe, la réglementation impose des mesures de sécurité aux organisations à forte criticité, comme la directive NIS2 [en français : sécurité des réseaux et des systèmes d’Information — NDLR]. En dehors des obligations, nous émettons des recommandations de bonnes pratiques pour toute entreprise, car tous les secteurs sont aujourd’hui concernés par les risques cyber.
À quel niveau se situe la réglementation monégasque ?
La réglementation monégasque a fortement évolué ces dernières années, en se calquant sur ce qui a été fait en Europe et en France. Elle est totalement intégrée dans l’écosystème. Et des projets de lois sont en discussion, notamment l’évolution de la loi n° 1165 actuelle, pour intégrer les évolutions au niveau européen, et faire en sorte que Monaco reste au même niveau de sécurité que celui européen, en partie sur la protection des données. Nous sommes donc au même niveau que la France aujourd’hui, et nous intégrons ce qui se fait en Europe.
« La sécurité ne peut pas être un investissement ponctuel. Elle doit faire partie du fonctionnement continu de l’entreprise. La cybersécurité doit être intégrée en permanence, au-delà d’un simple investissement initial »
Quelles sont les principales évolutions à prévoir de la réglementation monégasque ?
La réglementation monégasque va continuer d’évoluer pour intégrer l’usage de nouvelles technologies, telles que l’IA, qui nécessitera également de nouvelles règles pour protéger les données des clients.
Lire aussi | L’IA Act autorise partiellement la reconnaissance faciale au sein de l’UE
Comment garantir un haut niveau de sécurité à une entreprise, tout en lui permettant de se développer ?
La première question à se poser, c’est celle du risque associé à un nouveau service. Ensuite, on identifie les mesures de sécurité nécessaires. C’est un processus de gestion des risques au quotidien. Nous accompagnons nos clients dans ce développement sécurisé, sans le freiner. La rapidité de réaction est cruciale : la capacité à détecter et réagir vite atténue les impacts des crises.
C’est coûteux ?
Sécuriser coûte, en effet, mais les dépenses doivent être adaptées aux risques spécifiques à chaque entreprise. Les fondamentaux sont essentiels, mais il s’agit ensuite de cibler les points critiques. Il ne suffit pas de dépenser une grosse somme pour être sécurisé, les moyens doivent être adaptés à l’entreprise.
« La menace cyber évolue constamment, notamment avec l’utilisation de l’intelligence artificielle (IA) des deux côtés : des victimes et des attaquants. L’IA permet aux attaquants de complexifier leurs actions et elle oblige les entreprises à intégrer ces outils pour mieux se défendre »
Il faut aussi assurer une mise à jour constante ?
La sécurité ne peut pas être un investissement ponctuel. Elle doit faire partie du fonctionnement continu de l’entreprise. La cybersécurité doit être intégrée en permanence, au-delà d’un simple investissement initial.
Que retenez-vous des 24ème Assises de la sécurité, d’octobre 2024 (2) ?
Les Assises permettent de partager avec des partenaires technologiques et d’autres services sur les évolutions de notre secteur. Dans son discours d’ouverture, le ministre d’État, Didier Guillaume, a mis en avant l’importance de la collaboration public-privé [à ce sujet, lire notre article Comment Monaco veut se protéger de la cybercriminalité, publié dans ce dossier spécial — NDLR]. L’IA, sous forme d’outil, a aussi été abordée pour améliorer nos performances. La résilience et la gestion de crise ont été également soulignées.
1) Les données personnelles de 19,2 millions de clients de l’opérateur mobile et fournisseur d’accès, Free, ont été piratées le 17 octobre 2024, puis vendues sur le marché noir pour 175 000 dollars, soit environ 160 000 euros.
2) La 24ème édition des Assises de la sécurité a accueilli près de 3 300 personnes pendant 3 jours, du 9 au 12 octobre 2024, qui ont échangé sur les différents aspects de la cyber sécurité et des technologies associées. Environ 180 partenaires acteurs de la sécurité numérique étaient présents, notamment 21 startups, des PME, et des grands groupes industriels français, européens, nord-américains, du Moyen-Orient et d’Asie, dont certains collaborent avec Monaco.
