Accueil économie AlgoSecure, l’ange gardien des systèmes d’information

AlgoSecure, l’ange gardien des systèmes d’information

#cybercriminalité - Créée en mai 2008 à Lyon, la société AlgoSecure s’est positionnée sur ce marché de la protection des données et de la sécurisation des systèmes d’information des entreprises. Malgré son expertise, son dirigeant fondateur, Hicham Ben Hassine, l’affirme tout de go : « Il n’y a pas de recette miracle pour éviter les cyberattaques. »

0
Team Algosecure
Team Algosecure

#cybersecurité – cyberciminalité #portrait AlgoSecure

Les données informatiques d’une entreprise sont un trésor précieux. Lorsqu’elles sont altérées, visibles par des personnes malveillantes ou, dans le pire des cas, perdues, ce peut être un drame à prendre très au sérieux. Piratage, espionnage, menaces sur les réseaux : la cybersécurité est devenue un enjeu de taille pour les entreprises soucieuses de la pérennité de leur business.
Créée il y a 11 ans (mai 2008) à Lyon, la société AlgoSecure s’est positionnée sur ce marché de la protection des données et de la sécurisation des systèmes d’information des entreprises. Malgré son expertise, son dirigeant fondateur, Hicham Ben Hassine, l’affirme tout de go : « Il n’y a pas de recette miracle pour éviter les cyberattaques. »
C’est pourquoi le jeune patron de 40 ans revendique une approche pragmatique et au cas par cas. Forte d’un effectif de 18 salariés aujourd’hui, son entreprise pratique une intervention sur deux niveaux :
1- l’évaluation et le conseil en cybersécurité. La première consiste à auditer les systèmes de ses clients. « Par exemple, vous proposez une application mobile sur smartphone. Vous voulez savoir si elle contient des failles et si, depuis cette application, on peut intervenir au niveau du serveur distant. On va alors venir auditer pour mettre en évidence les différentes vulnérabilités et, surtout, faire des recommandations », explique Hicham Ben Hassine.
2- Sur le volet conseil, AlgoSecure peut, par exemple, accompagner l’entreprise dans la gestion de ses comptes administrateurs, souvent très nombreux. « Avant de sauter le pas vers une solution technique, il faut prendre le temps de la réflexion, bien produire un cahier des charges afin d’avoir une solution qui réponde pleinement à son besoin », conseille le dirigeant.
Mettre à jour son système d’information, faire les sauvegardes, assurer une certaine traçabilité des actions, utiliser un gestionnaire de mots de passe… : pour Hicham Ben Hassine, ces bonnes pratiques restent simples et à la portée de beaucoup d’entreprises.
C’est avec le même souci d’accompagner et d’informer que sa société organise une fois par mois les « Matinées lyonnaises de la cybersécurité ». Objectif : proposer un retour d’expérience relative à une thématique cybersécurité. 
Le mode d’action des équipes d’AlgoSecure varie en fonction du type de client. Car celles-ci interviennent aussi bien auprès de TPE que de PME et de grands groupes, qui évoluent dans des domaines d’activités très divers (transports, industrie, banque, énergie, immobilier…).
Bien implantée en Auvergne-Rhône-Alpes, la société lyonnaise se développe également à Paris, où elle a ouvert une agence en 2017.
Pour se différencier sur ce créneau très concurrentiel qu’est la protection des données, l’outsider lyonnais, qui se revendique « à taille humaine », met en avant sa réactivité pour rester à la page en termes d’expertise technique. « La cybersécurité, c’est un peu comme le sport de haut niveau : les contraintes évoluent très vite, il faut tout le temps se remettre en question, tout le temps se former pour être bon techniquement », résume Hicham Ben Hassine.
Il insiste également sur l’innovation que représente la présence de deux chercheurs parmi les 15 ingénieurs informaticiens de sa société, rendue possible grâce à un partenariat avec l’INSA Lyon et l’Université de Grenoble. 
Être un acteur régional crédible en matière de cybersécurité, c’est l’un des objectifs d’AlgoSecure. La société serait sur le point de l’atteindre puisqu’elle est en cours de qualification PASSI (Prestataires-Auditeurs de la Sécurité des Systèmes d’Informations). Cette qualification mise en place par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) atteste pour ceux qui la détiennent un niveau de compétences, de déontologie et de méthodologie pour la réalisation d’audits et de tests d’intrusion.
« L’idée est de pouvoir intervenir dans des contextes sensibles auprès de ceux qu’on appelle « les opérateurs d’importance vitale ». Ces entreprises, on en recense environ 250 en France, sont soumises à des contraintes d’audit et à un cahier des charges assez conséquent pour la sécurité des systèmes d’information.
Pour les auditer, il faut faire appel à des entreprises certifiées, c’est pourquoi nous sommes en cours de qualification PASSI », développe Hicham Ben Hassine. 
Si la cybermenace peut faire peur, le patron d’AlgoSecure encourage les entreprises à « dédramatiser ». « C’est vrai qu’on voit beaucoup de failles, beaucoup de fils d’information, mais quand on y regarde de plus près, la majorité de ces failles sont dues à des négligences. Si on met en place quelques bonnes pratiques, je pense qu’on peut se prémunir de beaucoup d’attaques et vulnérabilités. Il faut en être conscient et être pragmatique dans la démarche », conclut-il.
AlgoSecure, 57 boulevard Vivier-Merle 69003 Lyon. 04 26 78 24 86 www.algosecure.fr

Bonjour, je m’appelle Hicham Ben Hassine, je suis né à Lyon, j’ai 40 ans, je suis le dirigeant fondateur de la société AlgoSecure, une société que j’ai créée il y a 11 ans (Mai 2008) à Lyon. 

Missions de la société Algosecure

La vocation principale de notre structure, c’est d’accompagner et d’aider nos clients à sécuriser leur système d’information. On le fait via deux métiers : un premier métier que nous, on nomme avec un code couleur « Red Team », qui a trait à l’évaluation de la sécurité du système d’information. C’est-à-dire qu’on audite l’application ou l’infrastructure et on met en évidence les vulnérabilités et, surtout, on met en évidence les moyens de remédiation pour aider nos clients à pallier et corriger ces vulnérabilités.
Le deuxième métier, avec le code couleur « Blue Team », c’est tout ce qui tourne autour du conseil en cybersécurité. Quand un client a une problématique pour sécuriser son système d’information, on réfléchit avec lui pour l’amener à prendre la meilleure solution possible qui réponde à son besoin.

Les cibles et valeurs

Par rapport aux clibes d’Algosecure, aujourd’hui on intervient principalement avec les ETI (entreprise de taille intermédiaire) et les grands groupes de la région et un peu d’Île-de-France. 
Nos valeurs se déclinent sur deux volets. Il y a le côté technique, parce que c’est un métier qui nécessite une expertise technique très pointue. La cybersécurité, c’est un peu comme le sport de haut niveau, il faut tout le temps se remettre en question, tout le temps se former pour être bon techniquement.
Donc, la première valeur pour nous, c’est l’expertise technique, c’est un point très important chez nous.
Mais, avant d’être un ingénieur ou un consultant en cybersécurité, on est avant tout des hommes et des femmes qui réalisons ces missions donc on a une approche très différente par rapport aux valeurs humanistes. A titre d’exemple, on verse 1% de nos bénéfices à l’open source et 15% des bénéfices sont réservés aux salariés.
Voilà des démarches qui caractérisent AlgoSecure, c’est l’expertise technique et les valeurs humaines.

Pourquoi j’ai créé la société AlgoSecure ? 

La première chose, c’était la liberté, l’idée de pouvoir entreprendre à ma manière. J’avais noté des choses quand j’étais salarié qui ne me plaisaient pas beaucoup et à un moment je me suis dit, ok, je ne peux pas agir comme je le souhaite. Chiche : essaie de le faire toi-même et regarde si tu peux faire mieux.
J’avais noté que, globalement, le monde économique avait une approche plutôt court-termiste et principalement financière. Moi, je voulais avoir une approche différente des choses. 
L’objectif étant de faire du bon travail tout en gagnant correctement sa vie.

Comment j’ai créé AlgoSecure ?

Au départ, j’ai fait appel à de la « love money », je suis allé voir mes amis et des personnes de ma famille en leur disant : « Je veux créer ma société, est-ce que vous avez un peu d’économies ou pas ? ».
Quelques amis m’ont donné un peu d’argent initialement et, surtout, nous étions quatre associés, et j’ai eu besoin d’un éclairage de leur part parce qu’il y avait une personne qui était plutôt juridique, une personne dans l’informatique, pas forcément dans la sécurité informatique, une autre personne dans l’informatique, et je voulais avoir un feedback à chaque pas, à chaque étape.
On a été quatre à créer AlgoSecure, j’ai été dès le départ le gérant majoritaire et la personne qui travaille à temps plein, dès le départ au sein d’AlgoSecure.

Les difficultés auxquelles je fais face en tant qu’entrepreneur dans la cybersécurité ?

Elles sont diverses. La première difficulté, c’est une difficulté technique : notre métier évolue tout le temps et change constamment, contrairement à quelqu’un qui fait de la thermodynamique, les lois physiques ne changent pas tous les jours.
Dans la sécurité informatique, les contraintes et les innovations sont quasi permanentes, du coup, pour garder le haut niveau en termes d’expertise technique, c’est quelque chose qui est difficile à atteindre donc il faut dès le départ le prévoir.
Deuxième niveau : la difficulté managériale et humaine, c’est-à-dire recruter les bonnes personnes, des passionnés de la cybersécurité, des gens passionnés et également des gens passionnants. 
A chaque fois qu’on veut recruter, il faut qu’on soit très vigilants sur l’expertise technique mais également en termes d’adéquation de valeurs humaines et aux valeurs de l’entreprise.
La troisième difficulté, qui est plutôt d’ordre commercial, le cycle de vente est relativement long, on travaille avec les ETI et les grands groupes et on fait face à la forte concurrence d’autres grands groupes. On est forcément un outsider, donc comment sortir du lot au niveau commercial.

Les changements majeurs depuis la création :

Déjà, j’étais tout seul et à l’heure actuelle on est 18, c’est un changement majeur… On a fait le pari de l’innovation, sur les 18 salariés on a deux chercheurs, via un partenariat avec l’INSA Lyon et l’Université de Grenoble, c’est quelque chose de très différent par rapport à d’autres structures de la cybersécurité. C’est quand même une progression.

La vocation d’AlgoSecure ? 

Etymologiquement parlant, pourquoi le choix d’« algo » et « secure » ? « Algo » pour « algorithme » qui est un programme informatique, et également un mathématicien, et « secure », pour la partie sécurité. 
Notre vocation, c’est de sécuriser les systèmes d’information de nos clients via deux métiers : le métier de l’évaluation, typiquement vous avez une application mobile sur votre smartphone, vous voulez savoir si elle contient des failles, si depuis cette application on peut intervenir au niveau du serveur distant, on peut rebondir sur le serveur à distant,  on va venir auditer, mettre en évidence les différentes vulnérabilités et, surtout, faire des recommandations pour pallier ces vulnérabilités. 
Le deuxième métier, c’est le conseil en cybersécurité. Vous avez une problématique, typiquement  vous avez beaucoup d’administrateurs, beaucoup de comptes administrateurs à gérer, vous dîtes je vais mettre en place une solution pour gérer les comptes à privilèges . 

Comment j’entreprends ce genre de projet qui est un projet transverse ?

 Il faut réfléchir en amont, réfléchir à quelle solution vais-je prendre, peut-être, avant de sauter le pas vers une solution technique, prendre le temps de la réflexion, bien produire un cahier des charges, bien exprimer son besoin, pour avoir une solution qui réponde pleinement à son besoin. 

Quels sont les projets de AlgoSecure?

Notre projet à court terme, c’est, aujourd’hui, qu’on est en cours de qualification de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information. C’est une agence qui dépend du Premier ministre et qui chapeaute toute la gouvernance en matière de cybersécurité en France. On est en cours de qualification pour devenir auditeur, pour pouvoir intervenir dans des contextes sensibles, c’est ce qu’on appelle « les opérateurs d’importance vitale ».
Ces entreprises-là, en France on en recense environ 250, sont soumises à des contraintes, notamment d’audit et à un cahier des charges assez conséquent pour la sécurité des systèmes d’information. Pour auditer ces entreprises, il faut faire appel à des entreprises certifiées, et nous sommes en cours de certification « prestation auditeurs SSI ». 
Notre objectif est d’être une entreprise qui rayonne sur le bassin lyonnais et également à l’échelle nationale, et d’être un acteur crédible dans la cybersécurité. De rester toujours à taille humaine mais d’être un pôle toujours plus étoffé en termes d’équipes.

En quoi notre entreprise est différente des autres ?

Déjà, sur 18 personnes, avoir deux chercheurs, ce n’est pas très fréquent. Quand on regarde notre approche, elle est plutôt sur le long terme que le court terme. Ensuite, dans la gestion en interne, je s’inspire notamment des recherches de Frédéric Laloux sur l’entreprise dite « libérée » ou « partagée » dans le management. 
Un exemple concret : toutes les personnes en interne accèdent à la carte bancaire de l’entreprise. C’est stocké dans un fichier sécurisé, mais si quelqu’un, par exemple, a besoin d’une souris, elle n’a pas besoin de demander l’autorisation pour commander une souris, elle la commande et on n’en parle pas. On a une gestion en termes d’autonomie et de liberté qui est différente, je pense, par rapport à d’autres structures.
Et ensuite, pour garder l’expertise technique, l’année dernière, sur 15 ingénieurs, 13 ont fait une formation à l’extérieur de l’entreprise. Et même les personnes qui ont fait la formation à l’extérieur, on leur demande de faire un retour aux autres personnes qui n’ont pas fait la formation, sous forme d’une demi-journée de présentation. Par rapport à l’expertise technique, c’est quelque chose de très challengeant et on essaie de se donner les moyens pour relever ce challenge.

Comment peut-on éviter les cyberattaques ?

Soyons lucides : il n’y a pas de recette miracle.
Première approche, déjà, lorsqu’on réfléchit en tant que responsable d’un système d’information, c’est une approche qu’on appelle par les risques, c’est-à-dire cartographier ses biens et se dire : quels sont les risques relatifs à ces biens ?
Ça, c’est une approche générique. Concrètement, a minima, on peut suivre le guide d’hygiène du système informatique, donc, a minima, mettre à jour son système d’information, faire les sauvegardes, assurer une certaine traçabilité des actions, utiliser un gestionnaire de mots de passe… : quelques solutions qui me semblent simples et à la portée de beaucoup d’entreprises, des TPE, des PME et des groupes.

Pourquoi choisir AlgoSecure ?

Nous sommes un acteur à taille humaine, on sait être très réactif, on est un acteur local, un acteur innovant et indépendant. On a aussi une approche pragmatique du métier, c’est-à-dire que, globalement, on n’a pas de lien financier avec des éditeurs ou autres. Notre objectif est de répondre au mieux aux besoins du client.

Les évènements de AlgoSecure

Pourquoi on organise des événements relatifs à la cybersécurité ?

On organise tous les derniers mardis du mois les « Matinées lyonnaises de la cybersécurité ».
 L’objectif principal est de faire un retour d’expériences, pragmatique, relatif à une thématique cybersécurité. A titre d’exemple, mardi prochain, nous ferons un retour d’expérience sur « Comment sécuriser le système d’exploitation Windows en environnement entreprise ».

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici