Dernière mise à jour le 9 novembre 2022

Dernièrement, nous avons eu la chance de parler avec Ludovic Laborde, spécialiste en cybersécurité, et dirigeant associé de la SAS Connect 3S. Il aide les entrepreneurs et les freelances dans ce combat quotidien, pour sécuriser leurs données et leur site. 
Pendant cette rencontre, Ludovic a pu nous expliquer en quoi la cybersécurité pour les indépendants est un point qui n’est pas à négliger, et de plus, il nous a donné quelques conseils, directement applicables dans votre activité, pour réduire les risques de cyberattaques et comment réagir si cela arrive.

Découvrez notre échange avec Ludovic Laborde sur l’importance de la cybersécurité pour les indépendants ! 

Les présentations, quel est le quotidien d’un spécialiste en cybersécurité ?

Florent Meyronnet :

Bonjour Ludovic et bienvenue pour cette nouvelle vidéo. Aujourd’hui, on a la chance de t’avoir pour parler de la cybersécurité pour les indépendants. Alors déjà, merci d’avoir accepté de nous parler de ta spécialité. Du coup, je vais te laisser te présenter. Quel est ton quotidien ? Et puis, ensuite on avancera sur ce sujet.

Ludovic Laborde :

Merci Florent de me donner la tribune. D’abord, je me présente, Ludovic Laborde, j’ai plusieurs entreprises spécialisées surtout en cybersécurité.

Mon quotidien, c’est de la veille, c’est d’informer les gens, c’est de sensibiliser les gens à la bonne utilisation de l’outil informatique. Et de casser un petit peu les mythes qui sont, « comme je n’ai rien à l’écran, il ne se passe rien ». Ça déjà, c’est un point sur lequel il va falloir remédier.  Alors, qu’est-ce que mon quotidien de hacker éthique ?

Qu’est-ce qu’un hacker éthique ? 

Florent Meyronnet :

Mais surtout, qu’est-ce qu’un hacker éthique ? C’est un mot qu’on ne voit pas souvent.

Ludovic Laborde :

C’est deux mots, hacker et éthique. Depuis la nuit des temps on fait du hacking. Du hacking mental, qui est donc de la manipulation. Mais, on peut aussi changer le comportement d’un objet ou d’un système de son utilisation d’origine pour en faire autre chose. Globalement, c’est ça le hacking. 

On peut prendre un exemple. Une canne par exemple, c’est fait pour marcher. Mais on peut aussi l’utiliser pour récupérer une branche d’un arbre. Là, on est déjà dans du hacking. Le hacking est très large. Il y a une énorme connotation sur le côté numérique. Mais il y a énormément de piratage de cerveau, enfin, c’est de la manipulation, on appelle ça du social engineering. Ça, c’est la première des choses. 

Il existe plusieurs types de hackers. D’abord, le black hat hacker qui est une personne qui veut vous nuire. Ensuite, le grey hat, une personne qui est un petit peu des deux. Ça dépend s’ils sont bien lunés ou pas lunés. Donc, ils sont soit du bon côté de la force, ou de la force obscure, pour le côté un peu Star Wars. Et donc le hackeur éthique, c’est le côté white. C’est positif, c’est-à-dire qu’on met notre savoir à disposition des entreprises. Pour pouvoir les protéger d’une certaine façon des enjeux, de tout ce qui est piratage, de tout ce qui est hacking. 

Florent Meyronnet :

Tu es un peu le Gandalf, le Blanc du hacking pour les entreprises. Tu viens les sauver, c’est ça ? 

Ludovic Laborde :

C’est ça, mais je n’ai pas encore la canne !

Pourquoi faire attention à sa cybersécurité quand on est indépendant ? 

Florent Meyronnet :

Est ce que tu peux nous planter rapidement le décor en nous disant en fait, si je suis indépendant, quels sont les enjeux pour moi de faire attention à ma cybersécurité ? Parce que moi, je me dis bon, ok, je suis freelance, j’ai mes outils, je travaille avec mes clients, j’ai quelques clients. Je ne suis peut-être pas le plus concerné par ces sujets là. 

Ludovic Laborde :

Effectivement, c’est un discours que j’entends assez souvent – « je ne me sens pas concerné par ce que je suis tout petit ». Alors le seul truc, c’est qu’effectivement quand on ne se sent pas concernés, les choses arrivent, et elles arrivent alors qu’on n’est pas préparé. Il faut savoir que vous n’êtes qu’un numéro sur Internet. Un nom n’apparaît pas forcément en disant – « voilà cette personne gagne tant de chiffres d’affaires » – c’est de la masse. Ça vient souvent des absences de sécurité au sein même de l’outil informatique. Demain, vous n’avez plus de data, vous n’avez plus d’entreprise. Essayez de faire le test. Vous allez voir que vous êtes de suite une main devant, une main derrière. Il y a cette stratégie de longévité. 

C’est un peu comme les voitures à l’époque, on ne mettait pas de ceinture. On ne voyait pas l’utilité de la ceinture ni de l’airbag. Aujourd’hui on ne voit aucune voiture sans airbags et sans ceinture. Pourquoi il y a eu un contrôle technique, parce qu’il y avait des épaves qui roulaient sur le réseau routier. Mais donc, ces épaves étaient des dangers pour les usagers, mais autant que pour soi-même. C’est à peu près le même principe. C’est-à-dire qu’en tant qu’entrepreneur, on héberge des données de différents clients. Donc, d’une certaine façon, on se doit de respecter la confiance de ses clients. 

Ça, c’est déjà une première image, une image de marque venant de notre entreprise qui peut être impactée. Au-delà de ça, c’est le crash. S’il n’y a pas de stratégie de gestion de crises informatiques, puisque l’objectif des pirates, c’est de récupérer de l’argent et de revendre vos données. Que vous vous appeliez Pierre, Paul ou Jacques. Ils s’en foutent. Ce qu’ils veulent, c’est de savoir où frapper. Pour pouvoir récupérer le maximum d’informations et d’argent. Donc l’idée, c’est d’avancée, pareille, qu’avec un contrôle technique. Une surveillance de l’état de santé de la machine, les gros crashs, la perte de données. Surtout les pertes de données. Et puis, airbag et radar pour identifier tout ce qui attaque. Sachant, que 95% des attaques arrivent par mail. 

Est-ce qu’on peut se protéger simplement et pour pas trop cher ? 

Florent Meyronnet :

L’enjeu, c’est que même si on est une jeune entreprise où on est seul à l’intérieur, on a quand même des data, que ce soient les nôtres, ou celles de nos clients, sur lesquelles on travaille et donc il est nécessaire de les protéger. Sinon on imagine toutes les problématiques qu’on peut avoir. Du coup, on se dit qu’on est petit et que ça, c’est des protections de grandes entreprises. Est-ce qu’on peut se protéger simplement et pour pas trop cher ? Quand on est indépendant, qu’on est seul dans sa boîte. 

Ludovic Laborde :

Effectivement, c’est tout l’objet finalement de ma démarche. C’est de pouvoir fournir aux TPE, PME, des outils qui leur permettent de tenir dans le temps. Du moins, un premier jet de sécurité, qui leur permet finalement d’éviter les crashs. Alors que d’autres n’ont pas pris en compte ce risque. C’est un avantage pour eux d’être sécurisé sur ce point-là. Une cyberattaque, c’est une vraie pandémie, ça ne s’arrête pas, ça va monter en puissance. Ça continue de monter en puissance donc faut savoir se préparer sur les options. Le fait de mieux anticiper la suite. Ainsi, la question, c’est de savoir quand est-ce que je vais me faire pirater ? C’est la question, c’est de se sentir préparé par rapport à tout ça.

On a fait des recherches sur tout ce qui est, les meilleurs outils à des prix qui sont bien adaptés, sur lesquels on va travailler sur plusieurs plans. Premier plan, c’est tout ce qui est surveillance, tout ce qui arrive, tous les fichiers qui sont exécutés. Donc on a un antivirus nouvelle génération. Qui sont souvent fourni par de grosses entreprises et qu’on met à disposition des TPE, PME. Ce sont des outils très performants. Les trois-quarts des attaques viennent du fait d’un manque de mise à jour. On a mis un système, le batch management qui s’occupe de mettre à jour votre ordinateur. Il y a un système aussi d’audit pour savoir s’il y a un crash, pouvoir l’anticiper, pouvoir avoir toutes les sondes de votre réseau, votre ordinateur en l’occurrence et système de backup. Un premier niveau de backup, on va enregistrer vos documents hors image, bien sûr. Mais voilà, on a réussi à avoir un prix à 35€ par mois

Florent Meyronnet :

Donc, en fait, c’est complètement accessible. C’est-à-dire, que si je veux surveiller et patcher comme il faut, donc les mises à jour, et avoir un backup, et entre guillemets “Assurer la pérennité de ma boîte, à ce niveau-là”. C’est 35€ par mois. C’est plus un luxe de grandes entreprises finalement. 

Ludovic Laborde :

Non, c’est accessible, l’objectif, c’est de pérenniser puisque si nos entreprises se font éclater avec des cyberattaques, on perd de la compétitivité et c’est pas productif.w

Que faire quand on subit une cyberattaque ? 

Florent Meyronnet :

Du coup la vraie question, parce que c’est bien de faire de la prévention, mais tu sais que la prévention ça marche pas avec tout le monde. Qu’est-ce qu’on fait ? S’il y a une vraie crise, si je ne suis pas protégé, et puis je me fais attaquer. 

Ludovic Laborde :

On va le faire en trois points.

  • Premier point, se déconnecter d’Internet. Si tu as un câble, tu débranches ton câble. Tu laisses ton PC allumé, tu ne touches plus. Si tu es en WI-Fi, tu déconnectes ton Wi-Fi de ton ordinateur, tu passes en mode avion, tu dois toujours laisser ton ordinateur allumé puisque les preuves sont dans ce qu’on appelle la RAM. La RAM, la mémoire vive, c’est une mémoire qui est volatile, qui n’est accessible uniquement quand il y a du courant, quand le système est allumé. Donc l’idée, c’est de confiner. Comment on confine en informatique, on débranche les câbles réseau, uniquement les câbles réseau. Les éteindre, négatif, parce que sinon la RAM se vide. Toutes les preuves et tout le document de recherche d’information vont disparaître si débranché l’alimentation. Et ça, c’est sur tous les ordinateurs du réseau. Débrancher uniquement les câbles réseau. Vous pouvez même débrancher la box internet dans le cas où vous ne savez pas, vous débranchez votre box.
  • Puis, vous notez. Une fois que vous avez débranché la box. Vous êtes, entre guillemets en sécurité, c’est-à-dire, la cyberattaque ne va pas continuer, vous notez tout ce qui vous est apparu, le cheminement, la chronologie du moment où vous vous êtes rendu compte de l’attaque sur un papier. On prend des photos avec son appareil photo. Maximum de preuves, c’est très important.
  • Et puis après, vous appelez un service informatique compétent pour pouvoir faire cette recherche. Pour pouvoir vous aider à ne pas continuer à polluer votre système informatique avec la cyberattaque toujours d’actualité. Puisque tant qu’elle n’a pas été identifiée, on ne peut pas l’arrêter.

Florent Meyronnet :

OK, donc 1, je coupe, je me mets dans mon espace clos comme ça mes données ne partent plus. Deux, je note tout ce dont je me rappelle –  « j’ai eu tel écran qui s’affichait, j’ai eu un écran bleu, un pop-up quelque chose comme ça ». Et après, j’appelle quelqu’un au secours ! 

Ludovic Laborde :

Voilà, exactement, c’est exactement comme ça. C’est un peu comme un crash de voiture. On va de suite appeler les pompiers, on appelle son assurance. Et après un professionnel va vous guider, avec la méthodologie à mettre en place. 

Peux-tu nous raconter une anecdote que tu as vécu en tant qu’hacker éthique ?  

Florent Meyronnet :

Est-ce que pour finir notre échange, tu aurais, parce qu’on ne voit pas souvent des hackers éthiques, une anecdote, dans ta vie de hacker éthique que tu aimerais nous partager. 

Ludovic Laborde :

Oui, le hacking, c’est tout ce qui est compréhension du système. Souvent c’est comment outrepasser des systèmes. Plus récemment, sur une opération d’une de mes entreprises, on avait une difficulté, c’est-à-dire, que sur un des serveurs, on avait plus le mot de passe. Et dans ce serveur là, il y avait plein d’informations, à peu près dix jours de boulot. Et, le fait de pouvoir connaître d’autres systèmes, d’autres techniques nous as permis de gagner énormément de temps. Donc, en fait, cette opération m’a pris dix minutes.

Florent Meyronnet :

Ah, c’est pas mal, donc en gros, tu as à sauver dix jours de boulot en dix minutes, c’est ça que tu es en train de dire ? 

Ludovic Laborde :

C’est ça ! C’est l’efficacité dans le raisonnement, c’est ça qui est important, c’est think out the box. C’est-à-dire, que si tu ne peux pas rentrer dans le système, bah, tu passes par un autre moyen et puis, tu déverrouilles. Et c’est tout cet état d’esprit qu’est vraiment le hacker éthique. Dépenser différemment pour apporter des solutions par rapport à ces personnes là qui pensent différemment aussi, donc c’est un jeu du chat et de la souris. Et d’anticiper et d’avoir un éveil constant. 

Florent Meyronnet :

Ok, bien merci beaucoup. Je pense que ça a un peu démystifier la chose. C’est-à-dire que oui, tout le monde est concerné ou non, ce n’est pas trop cher et finalement, il y a quelques réflexes à avoir pour que ça se passe pas trop mal si on est en crise. Et j’espère que ça aidera du monde. 

Ludovic Laborde :

Mais c’est ce que je souhaite, transmettre un maximum, pour éveiller par rapport à ce qui se passe actuellement. 

Florent Meyronnet :

Merci encore pour le témoignage, à bientôt et bonne journée Ludo ! 

 

Pour retrouvez Ludovic, vous pouvez vous rendre sur son LinkedIn, ou bien vous pouvez vous rendre sur son site !