Publié le: 12 août 2016

La sécurité informatique pour tous

insomni’hack – Rencontre avec Paul Such, fondateur de SCRT Information Security à Préverenges et organisateur du Salon des ­hackers éthiques à Genève. Une manifestation qui propose également une journée de conférences. Conseils et erreurs à éviter.

«Nous avons démarré il y a neuf ans avec ce salon parce que nous participions nous-mêmes à ce type d’événe­ment à l’étranger aux Etats-Unis ou à Amsterdam et qu’il n’existait rien de comparable en Suisse», explique Paul Such, fondateur de SCRT Information Securiy. Cet ingénieur informatique a roulé sa bosse dans diverses sociétés en Espagne et en France avant de s’installer dans la région lausannoise. Avec collègues et amis, il a lancé le premier Salon de sécurité informatique en Suisse romande. La dixième édition devrait avoir lieu à Genève-Palexpo au printemps 2017 (23 au 24 mars).

«Au début, nous avons démarré avec un concours de hacking éthique, Insomniak. Le but était que les gens s’amusent dans un contexte légal, se souvient Paul Such en souriant. Après quelques années, nous avons décidé d’ajouter des conférences. La première édition s’est déroulée dans la cafétéria des locaux de la société avec soixante personnes à Préverenges. L’événement a été hébergé dans les locaux de l’Ecole d’ingénieur à Genève, puis à Palexpo depuis quatre ans.»

Quel est le public cible de cette manifestation? «Les professionnels de la sécurité avant tout. Des gens qui font du conseil en sécurité, des responsables de sécurité en entreprise. Beaucoup d’étudiants aussi, issus des institutions régionales, comme ­l’EPFL, l’Université de Genève, les HES. Nos participants viennent de toute l’Europe. Durant une journée comme celle-ci, nous accueillons environ 800 personnes par jour, soit 450 pour la partie conférence et 450 pour la partie concours en soirée.»

Comment s’organise le choix des thématiques? «Nous avons des sujets d’actualité. Par exemple, la sécurité dans le domaine du médical, du métier en général de responsable de sécurité, nous avons parlé cette année du déni de service – un sujet d’actualité, car plusieurs sociétés suisses en ont été victimes: le DDOS ou DOS («denial of service») se produit lorsqu’un pirate prend le contrôle de centaines, voire de milliers de machines pour saturer votre site web ou votre réseau afin de le rendre inutilisable.» Comment les PME peuvent-elles se préparer? Pour Paul Such, les défis sont les mêmes que ceux qui attendent les grandes structures. «Les risques sont les mêmes car les petites sociétés ont, elles aussi, des informations sensibles à protéger, une comptabilité, des prix d’achat, des listes de clients.»

Par quoi commencer? Par la formation des collaborateurs aux aspects généraux, comme le choix des mots de passe, le comportement sur Internet, la nature des virus, ce qu’est un cheval de Troie, quels sont les moyens mis en place par la société pour se protéger. Puis, des mesures techniques doivent être mises en place, des antivirus, des firewalls, des sondes anti-intrusion, des outils qui évoluent en permanence et pour lesquels il vaut la peine de consacrer quelques moyens. Enfin, il faut un point de contact pour réagir très vite en cas de problème.

Quel budget compter pour une PME de 20 à 30 personnes, un garagiste ou un fleuriste? «On ne parle pas de gros budgets. Quelques milliers de francs par an sur quelques années permettent de faire juste. La première année un peu de formation, la deuxième un peu de matériel, la troisième année, vous pourrez essayer un test d’intrusion afin de vous assurer que ce que vous avez mis en place sert réellement à quelque chose.

François Othenin-Girard

Une pme

SCRT à Préverenges

«Nous sommes aujourd’hui un peu plus de trente personnes et actifs sur quatre axes, explique Paul Such, fondateur de l’entreprise SCRT basée à Préverenges. L’attaque, c’est le test d’intrusion, le ­hacking éthique. Pour l’aspect de défense, nous aidons nos clients à mettre en place une solution de sécurité et à se protéger. Le forensic, c’est quand cela s’est mal passé et qu’il faut procéder à une collecte de preuve pour comprendre comment un incident a eu lieu, pour essayer de faire en sorte que cela ne se ­reproduise plus. Et la formation dans le domaine de la sécurité (lire texte principal). Nos clients sont des sociétés actives dans la région, dont la taille et les besoins en protection varient d’un cas à l’autre. Le budget est adapté au niveau de protection nécessaire. OGI

Les plus consultés