Nicolas Meyerhoffer, Vice President, Major Accounts, Executive Committee, IBM : Les RSSI et CISOs devraient travailler davantage en équipe avec les métiers, sur les sujets de l’IA et des données, pour une meilleure Cybersécurité.
octobre 2024 par Valentin Jangwa, Global Security Mag
En cette période du Cybermoi/s (Cybermalveillance.gouv.fr) et des Assises de la Cybersécurité, Nicolas Meyerhoffer, Vice President, Major Accounts, Executive Committee, IBM, a accordé un entretien à Global Security Mag.
Global Security Mag : Bonjour Nicolas, Global Security Mag est particulièrement enchanté d’avoir ce temps avec vous. Pourriez-vous s’il vous plaît vous présenter rapidement et nous dire comment votre parcours professionnel vous a amené à votre rôle actuel ?
Nicolas Meyerhoffer : Oui avec plaisir Valentin. J’ai eu la chance d’avoir un parcours assez varié chez IBM depuis 20 ans, avec différents rôles dans la cyber pendant ces dix dernières années, pour faire très simple. En commençant il y a 10 ans par m’occuper de l’équipe française, tout d’abord. C’était pour moi le plongeon un peu plus profond dans le sujet de la cyber. Et la découverte de cette mission qui est un peu particulière, un peu différente dans les métiers du numérique et puis l’occasion de se passionner pour cette mission tant et si bien que j ’ai eu l’opportunité et la chance de prendre un rôle au niveau du siège d’IBM aux Etats-Unis, toujours sur le sujet de la cyber, plusieurs rôles qui m’ont permis de diriger une grosse partie des ventes à l’international pour IBM Security pour ce qui concerne le logiciel et puis ces dernières années en France à travers différentes fonctions, en l’occurrence celle de sponsor exécutif au niveau du comité de direction de la filiale pour tous les sujets cyber. Je tiens toujours à garder un rôle dans ce domaine, comme on l’évoquait à l’instant tout simplement parce qu’une fois qu’on a donné de l’intérêt au sujet, on s’en passionne assez vite et ça reste dans les métiers d’IBM, une partie avec une connotation un peu particulière à laquelle moi aussi je suis très attaché.
Global Security Mag : Nous savons que la transformation numérique ou digitale s’est particulièrement accélérée ces derniers temps avec de nombreux défis par rapport notamment au multi-Cloud et Cloud hybride avec la question stratégique de savoir si les données sensibles doivent être mises dans des Clouds de Confiance ou Souverains, en laissant la possibilité à d’autres données moins sensibles d’être dans les Clouds des hyperscalers ou des GAFAM. Beaucoup de considérations stratégiques et tactiques sous-jacentes. IBM a récemment mis en place son Centre quantique de données en Allemagne. Les Directives et règlements européens, NIS 2, DORA, le CRA, l’AI Act, sont liés aux problématiques de Cyber-Résilience. Comment IBM traite tous ces sujets, notamment avec son entité qui s’appelle la X-Force et qui peut aider à la proactivité. Que pouvez-vous nous dire sur tous ces sujets ?
Nicolas Meyerhoffer : Absolument. Effectivement, nous partageons trois constats, en résumé, qui sont pour nous des marqueurs forts de l’ère du numérique que nous traversons actuellement. Deux constats qui sont l’actualité et la réalité des entreprises et organisations avec lesquelles IBM travaille, et un constat qui est plus sur une perspective. De toute évidence, le premier constat est le Cloud hybride et le multi-Cloud. C’est notre conviction et c’est la réalité qu’on voit quand on regarde les études, y compris les études tierces, je pense à une étude de Flexera de l’an dernier qui montrait que 90 % des grandes entreprises sont dans la réalité de ce nous appelons le multi-Cloud, et environ 80% dans une stratégie de Cloud hybride. Donc ça pour nous c’est une condition, un marqueur très fort sur la réalité des entreprises aujourd’hui. Et puis le deuxième c’est l ’IA à l ’échelle, on en parlera, et le dernier constat qui est la perspective, c’est le quantique. C’est donc ainsi que je séquence ces trois thèmes. Sur le sujet du cloud hybride, ce qu’on observe, c’est effectivement que c’est aujourd’hui un facteur à la fois d’opportunité et de complexité fort. Une étude du Cabinet McKinsey l’an dernier montrait d’ailleurs que la majorité des entreprises aujourd’hui n’ont pas de ROI (Return On Investissement ou Retour Sur Investissement), et ont même des ROI négatifs sur leurs projets de transformation Cloud. Il y a plusieurs raisons à cela, et on constate qu’une de ces raisons est effectivement le manque de préparation sur les aspects Cyber, qui freine ce type de projet et qui augmente très fortement les risques sur leurs réalisations. On se posait encore la question, il y a quelques années de savoir s’il n’était pas plus sûr de partir dans un Cloud etc. La réponse n’est pas forcément évidente, car si le sujet de la Cyber n’est pas traité en amont et si l’informatique qui est transformée ou portée dans le Cloud est vulnérable, cela n’améliorera pas la sécurité, bien au contraire. Ce sont de vraies questions à se poser tout de suite, et on voit d’ailleurs à travers ces exemples, que la Cyber est de plus en plus à travers cette transformation, sur le chemin critique de la transformation d’entreprise. Ce n’est pas du tout un « nice to have », en fait on ne peut plus transformer l’entreprise, l’organisation, ou en tout cas faire des transformations techno-ambitieuses sans aborder vraiment de front dans le programme de transformation, le composant Cyber. Les exemples classiques, vous les connaissez, c’est effectivement celui de porter des Applications vulnérables, la question du chiffrement qui est évidemment importante, on voit bien que si on ne construit pas intelligemment son architecture de chiffrement, on a des clés qui passent en clair sur le réseau. On ne peut pas se contenter aujourd’hui, je pense que ça fait relativement consensus, des fonctionnalités natives des Clouds, à partir du moment où on a plusieurs Clouds, et pas que pour des raisons de complexité, y compris pour de simples raisons de Cybersécurité. Il y a donc beaucoup de travail à faire sur ces sujets-là. En face de cela, nous avons choisi de se concentrer sur deux thèmes d’un point de vue technologique. Pour nous, ce sont des contrôles clés pour être capable d’exécuter ce type de transformation. Les contrôles sont liés à l’IAM (Identity and Access Management ou Gestion de l’Identité et de l’Accès), et à la data. Quand on regarde les modèles type Zero Trust qui ont émergé ces dernières années, on voit bien que ces contrôles sont devenus centraux. On voit bien la data en plein milieu du modèle de sécurité Zero Trust, ce n’est pas pour rien. IBM s’est donc concentrée sur une approche qui émerge sous le terme d’Identity fabric dont la philosophie est de dire que les entreprises et les organisations, avec lesquelles nous travaillons, ont de nombreuses technologies d’IAM qui s’empilent, voire plusieurs silos d’IAM en leur sein, ce qui en soi est un véritable enjeu et qui ressort en particulier quand on veut faire une transformation technologique. Notre approche est d’avoir dans le portefeuille IBM Security Verify une offre qui porte toute une suite d’outils, permettant d’abord de créer des technologies qui s’imbriquent avec des technologies tierces en existant, et qui permettent de réduire la dette technique Cyber que nos clients se sont créée, et de mieux valoriser leur patrimoine de technologie en l’intégrant, et en le complétant. Aussi, de créer un moteur d’orchestration avec Verify qui permette d’aller intégrer les diverses technologies d’IAM que les entreprises ont accumulées au sein d’un moteur qui donne la possibilité d’exécuter des politiques cohérentes à travers un ensemble d’outils d’IAM assemblés dans le temps. Voilà ce que nous avons construit et a annoncé ces derniers mois sur ces sujets.
Global Security Mag : Avec l’Intelligence Artificielle Générative intégrée ?
Nicolas Meyerhoffer : Alors la transition est bonne, puisqu’effectivement l’IA est le deuxième marqueur de l’ère numérique actuel, au sens de l’IA à l’échelle. Cependant, dire que l’IA est un marqueur actuel est un peu une exagération, puisque cela fait tout de même de nombreuses années qu’IBM met en œuvre de l’IA avec ses clients. Mais il s’agit clairement de la mise à l’échelle de l’IA qui a explosé depuis environ un an et demi avec l’arrivée de l’IA Générative, qui a catalysé beaucoup de projets. Et là, en effet, il y a plusieurs aspects, et au moins deux me semblent importants. IBM a annoncé une technologie qu’on a déjà assez largement mise en oeuvre et qui a vocation à maîtriser tous les modèles d’IA. Ce n’est pas de la Cyber au sens où on l’entend habituellement, mais pour moi cela me semble essentiel parce que c’est le point de départ d’une bonne politique Cyber, d’avoir un référentiel de modèle propre, de savoir où il est, de savoir qui accède à quoi, et de mettre cette partie-là sous contrôle. Cette technologie s’appelle watsonx.governance (la gouvernance de l’IA par l’IA Watsonx), pour la gouvernance de l’IA et des modèles, et elle permet aussi de faire la partie Compliance, qui est souvent connexe de la partie Cybersécurité, c’est-à-dire reporter au sens de l’IA Act les modèles à risque de manière très simple. C’est un aspect qui pour nous est fondamental. Un deuxième aspect est lié aux données, notamment aux bases de RAG (Retrieval Augmented Generation) qui sont souvent utilisées pour mettre en œuvre des architectures d’IA. Il s’agit dans ce cas de se demander comment est-ce qu’on met sous contrôle ces bases de données vectorielles, savoir qui y accède, s’assurer qu’elles ne soient pas corrompues et ainsi protéger l’entreprise ou l’organisation de ce type de risques de malveillance sur le système d’IA à mettre en œuvre. Et puis le troisième élément, sur lequel on aura matière à se reparler dans quelques semaines puisque les annonces ne sont pas encore faites (mais c’est pour bientôt), qui sera la question de la sécurisation des modèles d’IA en tant que tels.
Et si je reviens un petit peu en arrière sur la question des modèles d’IA, juste pour bien cristalliser le problème, il y a une statistique qui m’a vraiment interpellé dans une étude réalisée auprès de dirigeants très récemment, et qui dit que dans tous les nombreux projets d’IA Générative qui ont été lancés depuis 18 mois, seuls 24 % avaient dans le design du projet, un composant Cyber.
Il y a une énorme dissonance en fait, quand on interroge les leaders entre l’importance du sujet Cybersécurité que tout le monde reconnaît maintenant, et la réalité des demandes relativement urgentes de mise en place de moteurs d’IA Générative ou de chatbots. Et pour aider les entreprises et les organisations, nous proposons un accompagnement avec nos équipes de consulting, et nos récentes technologies afin de s’assurer de récupérer les 76 % de projets qui ont été enclenchés sans Cybersécurité, avant qu’ils ne passent à l’échelle et que les risques se matérialisent complètement.
Global Security Mag : En matière de proactivité, comment l’entité bien connue qui s’appelle IBM X-Force est une aide, pouvez-vous nous dire quelques mots sur le Data Center (Centre de données) quantique qu’IBM a inauguré en Allemagne récemment ?
Nicolas Meyerhoffer : Nous avons effectivement la chance d’avoir ces équipes IBM X-Force depuis de longues années, dont la réputation n’est plus à faire, et qui fournissent toujours un travail assez extraordinaire en matière de recherche sur le paysage des menaces. D’ailleurs, nous avons publié cette semaine le tout nouveau rapport qui est dédié au paysage de la menace dans le Cloud. Il est très intéressant, et on pourra le partager. Ces équipes sont toujours très actives, et nous utilisons beaucoup, à la fois leurs activités de recherche en matière de menaces Cyber, mais aussi tout l’accompagnement qu’elles amènent chez les clients sur deux volets. En particulier, toute l’activité de « Pen Testing » ou tests de pénétration, qui alimente aussi l’intelligence qu’on peut avoir de la menace à travers une activité très opérationnelle. Et l’autre activité aussi opérationnelle qui alimente notre compréhension de l’évolution de la menace, et tout ce que nous faisons sur l’accompagnement en matière de réponses aux incidents. L’idée est d’accompagner nos clients dans une démarche continue de posture de sécurité que ce soit par les Pen Tests exigés de plus en plus par les régulations, ou par la veille active sur les réponses à incidents, afin de permettre une réactivité voire une proactivité, et répondre le plus tôt possible dès qu’une menace avérée est détectée.
Sur le sujet du quantique, il y a quelques annonces qui sont intéressantes autour de l’ouverture du Data Center en Allemagne, mais qui viennent catalyser un investissement pluriannuel. Par rapport au volet Cyber, ce qui est marquant, c’est que cela fait un certain temps que nous avons travaillé sur un sujet fondamental pour nous, qui est la production de normes de chiffrement résistants à l’informatique quantique. C’est le fondement de cette démarche Cyber puisque la Recherche a prouvé théoriquement et mathématiquement qu’à partir d’une certaine puissance de calcul quantique, une partie de l’algorithme ne résisterait pas à un ordinateur quantique. Par ailleurs, nos fameux chercheurs de la IBM X-Force voient bien que la quantité de données chiffrées stockées par les acteurs de la menace augmente, et font le pari que prochainement, ces données pourraient être valorisées et déchiffrées. Il était donc essentiel que nous puissions effectuer ce travail normatif qui a été publié le mois dernier, si je ne me trompe pas, et a été pris en compte par le NIST (National Institute of Standards and Technology). Trois algorithmes publiés, avec des participations d’IBM dans les trois travaux en question. IBM en est assez fière.
Et dans la foulée, nous avons annoncé de la technologie qui est en fait une démarche avec des outils qui permettent d’accompagner nos clients sur la découverte de leur existant en matière d’algorithmes et de comprendre comment leurs Applications sont protégées, quels sont les algorithmes vulnérables, où ils sont, donc de recenser tout cela en l’automatisant le plus possible. Il s’agit d’observer comment ils se comportent et d’entamer un travail probablement pluriannuel (commencé avec un certain nombre de clients) de transformation de ces Applications afin que les risques puissent être remédiés et des algorithmes remplacés avec l’un ou plusieurs de ces trois algorithmes sanctionnés par le NIST. C’est vraiment le volet Cybersécurité qui nous tient à cœur parce qu’il ne suffit pas d’être un leader mondial de l’informatique quantique, mais aussi évidemment d’avoir à cœur de pouvoir préparer nos clients, non seulement pour l’adoption de la technologie quantique, mais aussi pour s’assurer qu’ils puissent le faire dans les conditions de sécurité respectables.
Global Security Mag : Quels seraient vos messages clés pour nos lectrices et lecteurs ?
Nicolas Meyerhoffer : Les messages clés sont reflétés à travers nos échanges. Je recommanderais aux CISOs (Chief Information Security Officers), RSSI (Responsables de la Sécurité des Systèmes d’Information), de profiter de cette position d’autorité dans les organisations et entreprises, acquise à juste titre ces dernières années, pour investir dans ces sujets d’IA et des données qui sont parfois un peu difficiles, parfois un peu longs, parfois un peu complexes, mais qui sont essentiels. Quand on voit un certain nombre de transformations, on se rend bien compte, pour tous les CISOs / RSSI et d’autres lectrices et lecteurs de Global Security Mag qui ont de l’expérience dans ces sujets, qu’amener la sécurité à postériori, c’est beaucoup plus complexe et beaucoup plus coûteux. Là, il y a une vraie opportunité d’aller se connecter dans cet élan des métiers vers l’IA et la data et d’investir avec les projets métiers, et non pas à côté ou après, pour s’assurer que les systèmes d’IA qui sont en train d’être construits, soient robustes et sécurisés. Cela me semble essentiel. Le deuxième point concerne la partie hybridation du Cloud, et la stratégie d’Identity fabric extrêmement pragmatique, permet de commencer à s’occuper d’un problème fondamental des RSSI, qui est celui d’adresser leur dette technique, mieux valoriser les technologies accumulées dans le temps. Et le troisième message, c’est le quantique, Cela prend des années à se préparer. Il est nécessaire d’anticiper. Ça coûte plus cher évidemment quand on doit faire en un an, un travail de trois ou quatre ans. Et j’engage donc les CISOs / RSSI à s’intéresser à cette problématique. C’est un sujet de data pour les professionnels de la Cyber. IBM a réalisé des évaluations pour des clients en quelques mois afin de leur fournir la réalité de leur posture Cyber sur ces sujets.
Le quantique, ce n’est pas un jour, ce n’est pas peut -être, c’est tout de suite.