La 7ème édition de Sophia Security Camp, événement annuel de sensibilisation aux bonnes pratiques de Cybersécurité de Telecom Valley, a eu lieu le 2 décembre dernier à Sophia Antipolis. Les entrepreneurs et professionnels des systèmes d’information de PME ont bénéficié des conseils et du partage de bonnes pratiques de plusieurs professionnels du secteur (agence gouvernementale, industriel, startup, fournisseur de services) pour se prémunir des cyberattaques dans un environnement Cloud, dont les PME sont la cible prioritaire.

Le 2 décembre dernier, la communauté Cybersécurité de Telecom Valley animée par Muriel Moënza (Orange Business Services) et Philippe Elie (Uscale Consulting), a réuni plus de 60 professionnels azuréens, chefs d’entreprises, responsables de système d’information, ingénieurs logiciel et cybersécurité, dans les locaux d’Amadeus à Sophia Antipolis pour la 7ème édition de son événement annuel Sophia Security Camp.

Contraintes sanitaires et télétravail, pilotage des sites à distance… les services « Cloud » ou informatique en nuage, se sont plus qu’accélérés ces dernières années tout comme de nouvelles failles de sécurité.

L’actualité ne manque hélas pas d’exemples, mais ce que l’on ignore souvent c’est que les PME sont 4,5 fois plus nombreuses à être victimes d’attaques. C’est pour cela que le thème choisi par la communauté Cybersécurité pour cette édition 2022 était particulièrement d’actualité.

Connaître les bonnes pratiques de sécurisation d’une architecture cloud

« Cybersécurité dans le Cloud, l’imprévu ça se prépare » a donné le ton aux interventions avec pour commencer, Kevin Heydon, délégué régional de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), qui a rappelé les bonnes pratiques de sécurisation d’une architecture Cloud, à la fois pour les entreprises utilisatrices et pour les fournisseurs de services. Le référentiel « SecNumCloud » lancé par l’ANSSI en 2016, qui précise les exigences en matière de sécurité de l’information à destination des prestataires Cloud, a suscité un intérêt particulier au sein du public.

Assurer la confidentialité et traçabilité des données

En étant dépendant des fournisseurs de services, les règles de partage de responsabilité ainsi que la détection et la remédiation des problèmes avec une localisation des données à l’étranger peuvent avoir des conséquences notamment en matière de RGPD (Règlement Général sur la Protection des Données).

La table ronde « Cloud Souverain » réunissant Corinne Meynier, co-fondatrice de la société KABIA, Dimitri Fagué, Marketing leader chez OVHcloud, et Mohamed Rougi, directeur du pôle Ingénierie de Docaposte, a permis de sensibiliser l’auditoire sur la nécessité d’assurer la confidentialité et la traçabilité des données, dans un contexte où celles-ci sont hébergées par des entreprises américaines soumises au droit américain, y compris leurs filiales présentes sur le sol français.

Les aspects réglementaires, en particulier concernant les données de santé et le RGPD, ont suscité de nombreuses questions.

Maîtriser les risques avec l’automatisation et la supervision des activités dans le Cloud

La table ronde « Automatisation et supervision » avec Olivier Massoni, Cybersecurity Consultant chez Orange Cyberdéfense et Jean-Michel Brossard, CEO de la société MOABI a apporté un éclairage sur les outils disponibles permettant à l’entreprise de maîtriser la complexité d’une architecture impliquant plusieurs prestataires Cloud, d’optimiser ses coûts et d’accroître sa réactivité face aux changements et aux incidents.

Enfin, et parce que la probabilité d’une attaque est devenue certaine, Hugues Granereau, associé de la société GSAPRADO, a expliqué comment les contrats de cyber assurance peuvent couvrir les risques d’une attaque cyber, en insistant sur la nécessité pour les PME de prendre les mesures de protection en amont : la cyber-assurance doit s’intégrer dans une démarche globale de sécurisation de l’entreprise.

Un sujet commun est apparu au travers de toutes les interventions : la majorité des attaques est le résultat d’une erreur humaine. La sensibilisation des équipes internes sur les bonnes pratiques au travers de formations régulières doit donc être considérée comme une priorité.

Replay vidéo

Pour celles et ceux qui ont manqué cette édition 2022, les interventions seront disponibles d’ici quelques jours replay vidéo sur Youtube.