Paul Heffernan (Revolut) : “Les hackers éthiques s’adaptent au mode de fonctionnement des hackers”

Quelle est la posture de Revolut face aux questions de cybersécurité ?

Pour commencer, Revolut a admis que des pirates tenteraient certainement de dérober les fonds de la société ou de ses clients, et qu’ils utiliseraient des moyens numériques pour arriver à leurs fins. C’est la raison pour laquelle Vlad Yatsenko, le CTO, m’a demandé en septembre 2018 de rejoindre l’entreprise pour constituer une équipe dédiée à la cybersécurité. Le but est de s’assurer que Revolut inscrive ces questions dans toutes ses activités et jusque dans l’application utilisateur.

Le défi, c’est qu’un malfaiteur a besoin d’être chanceux juste une fois pour identifier une faille et l’exploiter. En face, nous devons tester nos systèmes en permanence pour garantir la meilleure protection. C’est pour cela que j’ai décidé de recourir à des hackers éthiques. De par leurs profils, ils comprennent comment fonctionne le cerveau d’un hacker. Ils peuvent donc s’adapter et faire preuve de créativité dans leur manière de protéger nos systèmes. Ils réalisent également tous les pentests [tests de pénétration des systèmes, ndlr] dont nous avons besoin.

Avez-vous déjà subi des attaques et comment travaillez-vous pour éloigner ces menaces ?

Nous n’avons eu aucune attaque à déplorer pour le moment, mais il serait illusoire de croire que cela ne nous arrivera jamais. Nous oeuvrons donc à bâtir le meilleur processus de réaction pour le jour où nous en aurons besoin. Nous travaillons aussi au chiffrement de nos systèmes, à la protection de nos données… Et il revient également à l’équipe de simuler des attaques en interne, des “scénarios du pire”.

La cybersécurité n’est pas qu’un sujet technologique. Pour qu’elle fonctionne, il est nécessaire de mener une réflexion sur le modèle opérationnel, c’est pourquoi nous tenons à impliquer le conseil d’administration. Une partie de mon travail consiste également à développer une culture de la sécurité au sein de nos équipes et auprès de nos clients. Lorsqu’il y a une fuite de données massives externe à Revolut, par exemple, nous pouvons vérifier si les données de clients ont été compromises, et lorsque c’est le cas, leur envoyer un mail et leur fournir une nouvelle carte. C’est ce que nous avons fait lors de l’incident du Marriott ou celui de Cathay Pacific, par exemple. Non seulement ça augmente le niveau de confiance dans notre service, mais en plus ça sensibilise : peut-être qu’à terme, nos clients seront moins facilement victimes de scams et de campagnes de phishing.

En pratique, combien êtes-vous et quels outils utilisez-vous ?

A l’heure actuelle, nous sommes une équipe de cinq personnes à Londres. Et comme nous croyons beaucoup à l’automatisation, nous nous appuyons déjà sur plusieurs outils de tracking des événements de sécurité, de scans internes, et de crawl du dark web pour vérifier que les données de nos clients n’y apparaissent pas. Cette approche laisse aux agents le temps de se concentrer sur ce qui relève de la créativité, des pentests et de l’acculturation. Et je compte faire grossir l’équipe autant que nécessaire, avec dans l’idée d’avoir, à terme, des hackers éthiques dans nos différents bureaux à travers le monde.