Table of Contents
Comment concilier cybersécurité et expertise comptable ? Christophe Ballihaut orchestre la transformation digitale du métier chez Mazars, et il y a longuement réfléchi.
Drôles de mondes que les quartiers d’affaires. On a tôt fait de s’y sentir tout petit, au milieu des gratte-ciels et de leurs milliers de vitres dont on ne devine rien.
Prenons cette tour par exemple, sur l’Esplanade Nord de La Défense. 16 étages distribués sur 72 mètres de hauteur, 21.500 m² desservis par 10 ascenseurs, un véritable colosse. Sur ses faces nord et sud, un logo tutoie les passants. Mazars.
Un groupe international qui force le respect, à l’image de son siège social, avec 83 ans d’histoire et une présence dans 100 pays et territoires, articulée autour de quatre activités principales : audit, fiscalité et juridique, conseil et expertise comptable.
La cybersécurité, un enjeu majeur de la transformation digitale
Derrière l’une des plus hautes vitres de l’immeuble Mazars, il y a Christophe Ballihaut. Il est Directeur de la Transformation et de l’Innovation au niveau du métier d’expertise comptable chez Mazars en France. Son rôle, c’est d’orchestrer “la transformation digitale de l’activité, et tout ce qui est apport des nouvelles technologies dans les différentes lignes de service de notre métier d’expertise comptable”, résume-t-il.
Et chez Mazars comme ailleurs, la transformation digitale amène son lot de sujets en matière de cybersécurité.
La sécurité numérique au cœur de l’expertise comptable
Chez Mazars, la minutie qu’on peut attendre d’une activité d’expertise comptable se retrouve en partie dans la gestion de la sécurité numérique. Un sujet sur lequel la division française fait figure de bon élève.
Sous la direction de Christophe, la transformation digitale de l’activité d’expertise comptable s’est articulée autour de trois sujets cyber primordiaux :
- assurer le maintien en condition opérationnelle des activités ;
- garantir les conditions organisationnelles et opérationnelles de respect du plan de sécurité des systèmes d’information, conforme ISO27001, piloté par la DSI ;
- sensibiliser tous les collaborateurs aux risques cyber.
1. La résilience opérationnelle numérique
Le premier chantier, c’était le maintien de la condition opérationnelle de fonctionnement des opérations. “La première étape de la transformation digitale, c’était de parler de RPO et RTO, et de PRA et PCA”, explique Christophe. Autrement dit, faire en sorte que la machine continue de tourner même en cas de problème, et s’assurer que les choses reviennent à la normale le plus rapidement possible.
Il faut savoir que la résilience opérationnelle numérique est un enjeu crucial de la finance internationale. Il n’est plus seulement question de se protéger des menaces, mais bien de maintenir l’activité même sous un feu nourri. En Europe, le sujet est devenu si central qu’il a donné lieu en décembre 2022 au Règlement DORA (Digital Operational Resilience Act), un texte législatif majeur de l’Union européenne sur la cybersécurité des entités financières.
2. La certification ISO27001
Une fois le maintien des activités assuré, il a fallu mettre en place un plan de sécurité du système d’information. Le Directeur de la Transformation et de l’Innovation témoigne :
“Il y a plus d’obligations réglementaires pour l’activité d’audit que pour celle d’expertise comptable, mais nous nous sommes également fixé des standards élevés. Nous sommes certifiés ISO27001. Nous sommes donc soumis à des obligations de sécurité liées au maintien de notre certification sur les différents périmètres.”
3. La réduction du risque humain
Enfin, dernier point mais pas des moindres, la sensibilisation des collaborateurs aux risques cyber. La nature même de l’activité d’expertise comptable fait que les vecteurs humains représentent une part importante de la surface d’attaque. Là encore, Christophe raconte :
“La digitalisation, la transformation et le changement des usages et des pratiques dans nos métiers d’expertise comptable suit un cycle qui a démarré peut-être un peu plus tard que dans d’autres industries mais subi de plein fouet l’arrivée de l’intelligence artificielle. Par exemple, partager des documents complètement numérisés dans le cloud est une pratique beaucoup plus récente que dans d’autres secteurs. Cette matérialité du risque humain est donc très prégnante dans tous les processus de digitalisation de notre activité.
Il est donc impératif de sensibiliser tous nos collaborateurs aux attaques par ingénierie sociale, aux attaques par manque de vigilance. Rappelons des évidences, mais ne pas avoir un seul mot de passe sur plusieurs systèmes, ne jamais laisser traîner ses mots de passe, avoir des accès centralisés sur du SSO et protégés par un deuxième facteur (2FA)…
Ça c’est pour le passé, mais aujourd’hui nous soulignons toujours la nécessité d’avoir une vraie hygiène de gestion des accès. Il est impensable qu’il y ait une fuite de données à cause d’un collaborateur qui n’aurait pas maintenu une bonne hygiène au niveau de ses mots de passe sur des systèmes externes.”
Notre priorité, c’est garantir la sécurité d’accès aux données de nos clients et, dans un deuxième temps, garantir l’accès à notre portefeuille clients, et à notre image de marque.
Le portail eazy, “la première brique à emmener du logiciel en public”
Pour Mazars comme pour tout le monde, la transformation digitale a amené un autre sujet sur la table : les portes ouvertes sur le web. Les services cloud et les applications SaaS sont aujourd’hui légion, et posent des questions de cybersécurité qui n’existaient pas auparavant.
Pour l’activité d’expertise comptable, cette première ouverture sur l’extérieur s’est faite avec le portail eazy, une solution de gestion globale pour les entrepreneurs conçue par Mazars Christophe se souvient :
“Au niveau de la France et du métier d’expertise comptable, nous étions la première brique à emmener du logiciel en public. Le portail eazy a embarqué pour la première fois des accès aux données critiques de nos clients, au travers d’une porte d’entrée via le web.”
“Notre priorité est garantir la sécurité des données de nos clients”
Le portail eazy est une solution de pilotage pour les entrepreneurs, dont le groupe Mazars se doit de garantir la sécurité des données. Les enjeux cyber sont somme toute classiques pour une plateforme SaaS, à ceci près que les données hébergées sont hautement sensibles, et que le droit à l’erreur n’existe pas.
“Notre priorité est de garantir la sécurité des données de nos clients et, dans un deuxième temps, de garantir l’accès à notre portefeuille clients”, souligne Christophe. L’imperméabilité numérique de la solution est donc au cœur de ses préoccupations.
Une culture globale de la cybersécurité…
Il va de soi que la sécurité n’est jamais l’affaire d’une seule équipe, a fortiori dans un groupe aussi important que Mazars. “Nous avons un Global Chief Security Officer qui homogénéise les pratiques au niveau du groupe. En France, la DSI a la responsabilité de la sécurité sur tous les périmètres nationaux ”, explique Christophe.
… qui commence au plus près du produit
Dans un groupe de l’envergure de Mazars, l’équipe de sécurité ne peut pas scruter tous les applicatifs produits dans leurs moindres détails. C’est tout bonnement impossible. A ce titre, chaque équipe qui crée du logiciel se doit d’être responsable sur les sujets cyber :
“Pour les équipes de cybersécurité de Mazars en France, l’une des tâches est de normaliser les pratiques de sécurité au niveau du développement. Une fois ces principes et les guidelines fournis, c’est à nous de les appliquer.”
Afin de compléter la vision entière du continuum de sécurité, des contrôles de cohérence et de bonne implémentation de la sécurité sont également effectués. Ceux qui ont déjà croisé la route de Christophe Ballihaut pourront vous dire qu’il est loin, très loin de prôner une sécurité de façade. Amener cette culture de la cybersécurité au plus près du produit et des métiers de production, il en a fait l’une de ses priorités.
eazy : une sécurité numérique de bout en bout
L’approche SecOps fait partie intégrante de l’ADN des équipes du portail eazy. “En complément des guidelines de l’équipe de sécurité, nous avons tout un processus d’assurance qualité intégré dans une CI/CD GitLab, dans laquelle nous avons aussi des éléments de tests de sécurité”, explique Christophe.
L’idée est simple : envisager la sécurité dès les premières lignes de code, et mettre en place de multiples lignes de défense, de contrôle et de vérification.
“En matière de processus de développement, nous suivons les standards. C’est-à-dire que le code est produit et, de manière automatique, il y a des tests de premiers niveaux qui sont faits sur des dépendances, des paquets, des choses comme ça qui pourraient embarquer des vulnérabilités. Derrière, il y a des rapports de sécurité faits par des outils d’analyse statique (SAST).
Avant la mise en production de chaque version, des tests de sécurité complémentaires sont menés par les développeurs, en plus des outils de scan. Enfin, il y a le dernier bastion interne, la dernière protection : des pentests faits de manière complètement aléatoire.” – Christophe Ballihaut
Le bug bounty, “un programme continu qui complète les tests précédents”
Le portail eazy suit un cycle applicatif bien rôdé, qui n’a rien à envier aux processus qu’on trouve chez les plus grands éditeurs de logiciels. Mais pourquoi s’arrêter là quand on peut faire encore mieux ?
“Nous avons décidé de mettre en place un bug bounty pour apporter un complément de contrôle. Il vient à la fin du processus, c’est un programme continu, qui amende tous les tests de sécurité précédents. C’est aujourd’hui plus pertinent que jamais, puisque l’expertise comptable rejoint le périmètre de la certification ISO27001.”
Mobiliser les chercheurs en sécurité pour renforcer la sécurité numérique
Le bug bounty est une méthode de détection des vulnérabilités. Une chasse aux bugs qui mobilise la communauté des hackers éthiques pour tester la sécurité d’un actif numérique – applications, sites web, IoT, etc. Si un hacker trouve une vulnérabilité, l’organisation lui accorde une prime. Plus la vulnérabilité est critique, plus la récompense est élevée. Si les hackers ne trouvent rien, l’organisation n’engage aucune dépense. Facile, non ? Oui, mais encore faut-il s’adonner à l’exercice avec sérieux. Ici, le portail eazy fait figure d’exemple.
“Nous avons une ferme de serveurs dédiée au bug bounty”
Non content d’avoir mis en place un bug bounty, les équipes d’eazy lui donnent toutes les chances de réussir en mobilisant les ressources techniques et humaines nécessaires. “Nous avons une ferme de serveurs qui est complètement dédiée au bug bounty, et un référent dans les équipes de développement, en complément des équipes de sécurité de Mazars”, explique Christophe Ballihaut.
Une rigueur dans l’exercice secondée par Mathieu Bouvet, Lead CSM chez Yogosha : “Ils mettent à disposition des environnements clonés, ça demande des moyens. Il y a une vraie volonté de faire du bug bounty sérieusement, ça fait plaisir à voir. “
Le triage des rapports de vulnérabilités envoyés par les chercheurs est fait par les développeurs, avec l’assistance de Yogosha. S’ensuivent toutes les étapes jusqu’à la remédiation : “Quand nous recevons un rapport, il est analysé, priorisé dans notre backlog, et est traité comme incident de sécurité“, souligne le Directeur de la Transformation et de l’Innovation d’eazy.
Identifier les vulnérabilités critiques
Avec le bug bounty, Christophe cherche à identifier les vulnérabilités les plus critiques. Le niveau de sécurité imposé par Mazars en France est élevé, et le portail eazy fait déjà l’objet de nombreuses revues.
“Certains hunters moins expérimentés, avec 2 ans d’expérience ou une vision de sortie d’école de sécurité, peuvent venir avec des évidences qui ne correspondent pas à un vrai sujet de sécurité. Cette fameuse version d’Apache Log4j par exemple. Il est évident qu’une organisation comme nous n’attend pas ce niveau de réponse. Ce qu’on cherche, ce sont des constructions intellectuelles qui intègrent bien le mode de fonctionnement intime du portail eazy, pour trouver les portes qui resteraient ouvertes.”
Pour attirer les meilleurs chercheurs en sécurité, Christophe dote donc son bug bounty de moyens matériels et humains, mais aussi financiers.
“L’idée derrière notre bug bounty est donc d’encourager les rapports les plus pertinents, qui vont donner lieu à de grosses primes, plutôt que des rapports basiques qui n’apportent que des évidences.”
En effet, les vulnérabilités les plus critiques sont aussi les plus difficiles et chronophages à trouver. Elles demandent une véritable expertise de la part des chercheurs. La promesse d’une prime substantielle incite donc les meilleurs hunters à participer au programme plutôt qu’à celui du voisin, peut-être plus chiche dans ses récompenses.
La compétitivité des primes promises aux chercheurs est un élément déterminant dans l’efficacité d’un bug bounty, même s’il est loin d’être le seul. Pour aller plus loin sur ce sujet, nous ne pouvons que vous recommander la lecture de notre guide pour un bug bounty réussi.
E-Book: Bug Bounty, le guide ultime pour un programme réussi
Apprenez comment mettre en place votre Bug Bounty, le rendre attractif et mobiliser les hackers pour identifier des vulnérabilités à haut risque.
Pas un trimestre ne passe sans qu’on reçoive un rapport extrêmement qualitatif.
Le bug bounty mené par Christophe est réfléchi de A à Z, depuis son rôle dans le parcours de sécurité global du portail eazy jusqu’au montant des récompenses pour disposer des meilleurs éléments. Alors forcément, il finit par porter ses fruits.
“Il ne se passe pas un trimestre sans que nous recevions un rapport extrêmement qualitatif, ce qui justifie complètement le fait de travailler avec un programme de bug bounty. Cela nous a toujours permis de nous améliorer en sécurité, en consolidant toujours plus nos structures de développement.
Cet aspect formateur du bug bounty, Christophe le constate jusque dans ses équipes de développement.
“Le bug bounty participe indirectement à la formation des équipes de développement. Il y a un côté pédagogique, ça donne cette culture de la préoccupation de la sécurité à tout le monde. Mes équipes de développeurs sont encore très orientées DevOps, et le bug bounty les sensibilise vraiment à la sécurité.”
Le Directeur de la Transformation et de l’Innovation va même plus loin dans l’utilisation pédagogique du bug bounty, puisqu’il se sert de certains rapports envoyés par les chercheurs comme supports d’apprentissage.
“Parfois, je profite de rapports mineurs dont je sais qu’on ne corrigera rien du tout. Je leur donne ça comme matière à analyser, à réfléchir et à compléter, en lisant de la documentation pour prendre conscience du risque. Donc même les rapports mineurs sont utiles pour les aider à maintenir et développer cette sensibilité à la sécurité des applicatifs.”
Ils font du bug bounty, ils racontent.
Repenser les audits de sécurité
Christophe Ballihaut n’est pas homme à avoir une confiance aveugle en ses fournisseurs. Un état d’esprit sain : il est impératif de s’assurer de la qualité de ses partenaires, en matière de cybersécurité peut-être plus qu’ailleurs.
“Je suis très partisan du motto ‘La confiance n’exclut pas le contrôle.’ C’est quelque chose que j’applique depuis l’une de mes premières expériences avec une société d’audit, à l’époque mandatée pour faire un pentest. J’avais mis un pot de miel, et laissé derrière un vrai trou de sécurité. Il s’est passé ce qu’il devait se passer : l’auditeur en a fait des tonnes avec le pot de miel, et il n’a jamais trouvé le vrai sujet de sécurité derrière.
C’était une manière pour moi de voir l’état d’esprit et le niveau de précision avec lequel l’auditeur allait travailler, et sa capacité à remonter de réels sujets. Et Yogosha a fait l’objet du même type de chose – comme je disais, la confiance n’exclut par le contrôle.
“Avec Yogosha, ça se passe bien. C’est une brique complète et active du dispositif de sécurité. Je regarde toujours la pertinence de ce qui est remonté pour ajuster le delivery, mais le fait est que nous travaillons historiquement ensemble et qu’il y a toujours de la pertinence. Nous tombons toujours sur de vrais sujets, et ça justifie complètement le bug bounty et l’investissement que nous y faisons.”
Avec des gens qui pensent différemment, comme les hackers éthiques, on essaie de trouver les vrais problèmes.
Pentest : “Il faut compléter le modèle de mission traditionnelle”
Dans sa quête du bon prestataire, Christophe s’est interrogé sur la nature même des tests de sécurité tels qu’on les connaît, et sur leur pertinence dans l’écosystème actuel. Historiquement, les tests d’intrusion ont toujours été menés par des cabinets d’audit traditionnels, habitués à fournir des prestations ponctuelles. Une approche de la sécurité qui présente deux écueils majeurs.
“Cette anecdote du pot de miel, c’est qui m’avait amené à réfléchir sur la pertinence de faire des pentests de manière directe et structurée via une société externe. Je pense qu’il faut arrêter, ou sinon compléter, ce modèle de mission traditionnelle avec une date de début et de fin, un framework, une méthodologie qu’on exécute. Il faut aller plus loin que le pentest classique : au bout d’un moment, on tombe dans la facilité. On relève des scores CVSS faussement problématiques sans aller en profondeur.”
Les approches structurées peinent en effet à détecter les vulnérabilités les plus retorses. Les acteurs mal intentionnés rivalisent d’ingéniosité pour atteindre leurs cibles ; il faut donc en faire autant. Ici, le Directeur de la Transformation et de l’Innovation d’eazy témoigne de l’intérêt d’une solution comme Yogosha.
“Un cabinet d’audit traditionnel maîtrise très bien la méthodologie, qui est structurée, mais ne laisse souvent pas assez de place à la créativité de ses pentesteurs. Ils vont davantage se concentrer sur le déroulé de leur méthodologie, et sur le temps passé. Il n’y a pas assez d’ouverture sur le hasard. Avec des gens qui pensent différemment, comme les hackers éthiques, on essaie de trouver les vrais problèmes.“
Les hackers changent complètement la donne du point de vue du retour qualitatif.
“Ce qui fait la différence, c’est la continuité du travail”
La seconde limite du pentest dans sa forme traditionnelle, c’est d’envisager le test de sécurité comme une simple étape, comme un exercice ponctuel. Cette approche n’est plus adaptée aux cycles de vie des applicatifs modernes. Les entreprises recherchent l’agilité, et les livraisons sont bien plus nombreuses et fréquentes qu’il y a quelques années.
Si la Sécurité Offensive (OffSec) ne peut plus être ponctuelle, elle doit être continue. C’est cette certitude qui motive toute notre activité, et les retours de Christophe Ballihaut font plaisir à entendre.
“Les hackers changent complètement la donne du point de vue du retour qualitatif. Je dirais que les deux sont complémentaires, mais ce qui fait vraiment la différence, c’est la continuité du travail. Avec Yogosha, il y a un vrai travail continu qui nous maintient toujours en vigilance.“
Cette veille de sécurité continue passe bien évidemment par le bug bounty, mais aussi par une modernisation de l’activité de pentesting. C’est pourquoi chez Yogosha, on prône le Pentest as a Service (PtaaS) : des tests d’intrusion activables à la demande, en moins d’une semaine, et pour un coût autrement plus intéressant pour les organisations.
“Le prochain chantier, c’est d’avoir une chaîne SecDevOps complète”
Vous l’aurez compris, la sécurité est un sujet continu pour Mazars France, et en particulier au sein de l’équipe eazy. Et pendant que l’on réfléchit à ces considérations, Christophe Ballihaut a déjà les yeux rivés sur l’avenir.
“Le prochain gros chantier sécurité, c’est de tout intégrer dans une même Fabrique et d’arrêter d’avoir des outils un peu partout, avec une logique toujours plus alignée et industrialisée.”
On n’y connaît pas grand-chose en expertise comptable, c’est un euphémisme que de le dire. Mais aux entrepreneurs en quête d’une solution de gestion soucieuse de leurs données, nous n’avons qu’une chose à dire. Rappelez-vous que sur l’Esplanade Nord de la Défense, derrière l’une des vitres du dernier étage de l’immeuble Mazars, un homme travaille avec une seule obsession en tête : “la priorité, ce sont les données de nos clients.” Elles sont visiblement entre de bonnes mains.
Si la sécurité des données de vos clients vous est aussi précieuse qu’à Christophe Ballihaut, n’hésitez pas à nous écrire. On ne pourra pas vous aider pour l’expertise comptable, mais la Sécurité Offensive c’est notre domaine.
