Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Alexis Nardone, INQUEST, groupe GM Consultant : il faut entamer le chantier de la cybersécurité par des actions pragmatiques et cohérentes

janvier 2019 par Marc Jacob

INQUEST, groupe GM Consultant à l’occasion du FIC présentera Weakspot, sa nouvelle solution en ligne capable d’évaluer l’exposition aux risques informatiques d’une entreprise sur Internet à travers l’établissement d’une cartographie des ressources visibles jugées comme points de faiblesse potentiels. Devant l’étendu des menaces qui planent sur la toile, Alexis Nardone, Directeur Associé d’INQUEST, groupe GM Consultant recommande d’entamer le chantier de la cybersécurité par des actions pragmatiques et cohérentes.

Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?

Alexis Nardone : Nous allons présenter, Weakspot, notre nouvelle solution en ligne capable d’évaluer l’exposition aux risques informatiques d’une entreprise sur Internet à travers l’établissement d’une cartographie des ressources visibles jugées comme points de faiblesse potentiels.
La startup du même nom a été créée fin 2018. Elle résulte d’une association entre Laurent Mayet, président de GM Consultant et Aurélien Boit et Manuel Brochand, spécialistes en cybersécurité et créateurs de la solution.

GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?

Alexis Nardone : Pour nous, le principal défi de la sécurité consiste à en faciliter l’accès pour toutes les entreprises. En effet, les entreprises de taille plus modeste ont tendance à croire, à tort, qu’elles ne représentent pas des cibles privilégiées et n’entament pas forcément ce chantier. Ou alors elles n’en n’ont tout simplement pas les moyens. Les actions de sensibilisation commencent à porter leurs fruits, sur les attaques par ransomware notamment, mais la tâche reste immense et les attaquants s’adaptent déjà et exploitent d’autres failles, techniques.
Il faut donc une offre adaptée à leur niveau de maturité.

GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?

Alexis Nardone : Voici nos trois conseils :

1) (Re)prendre la main sur le sujet ! Les organisations ne doivent pas déléguer cette problématique aveuglément. Il est important de comprendre l’empreinte de son système d’information vis-à-vis de l’extérieur pour en maîtriser plus facilement les faiblesses.
2) Prendre conscience qu’une hygiène convenable en cyber sécurité n’implique pas d’engager des frais démesurés. Cela demeure accessible via un ensemble de mesures cohérentes : campagnes de sensibilisations, mises en place d’outils et surtout de démarches structurées pour tester leur pertinence.
3) Se préparer à l’incident de sécurité, qui arrivera. Ne pas croire que cela n’arrive qu’aux autres et être à même de réagir vite lorsque la crise survient afin d’en limiter les impacts.

GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?

Alexis Nardone : Le RGPD a introduit plusieurs changements majeurs pour les entreprises :

- Ces dernières doivent mettre en œuvre des mesures techniques et organisationnelles pour s’assurer que le traitement des données est conforme au RGPD. Assurer la sécurité des locaux et de leurs systèmes d’informations pour éviter que les fichiers soient endommagés ou accessibles par des tiers non autorisés.
- Le consentement préalable de la personne fichée est renforcé
- Renforcement de la sanction financière qui peut atteindre jusque 4 % du chiffre d’affaires annuel de l’exercice précédent. Ex : UBER condamné à 400 000 euros d’amendes en décembre 2018 pour défaut de sécurisation des données clients et chauffeurs.

Pour ce faire, les entreprises doivent recruter un DPO (data protection officer). Ce dernier coopère avec la CNIL dont il est le point de contrôle, informe et conseille le responsable de traitement (employeur ou sous-traitant) sur la protection des données personnelles, s’assure que le RGPD est respecté etc.

Le niveau de maturité des entreprises sur la mise en application est très hétérogène. Il dépendra de la sensibilité de la direction à ce sujet, du secteur d’activités et surtout des potentielles exigences des clients de ces entreprises. Aujourd’hui, toute relation contractuelle envisagée avec de grands groupes implique à minima une démarche concrète de mise en conformité en cours.

GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?

Alexis Nardone : Question difficile. Nous anticipons un nombre encore plus important de cyber attaques opportunistes en 2019. Le professionnalisme des bandes organisées derrière ces attaques est bien plus avancé face à un tissu de petites entreprises qui peine à se sécuriser.

GS Mag : Quel est votre message à nos lecteurs ?

Alexis Nardone : Il ne faut pas voir tout en noir. Eviter les attaques opportunistes est possible et ne nécessite pas des investissements colossaux. Il faut accepter parfois de perdre en souplesse, s’emparer d’un sujet qui a souvent été confié à des prestataires et entamer le chantier par des actions pragmatiques et cohérentes.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants