Arnaud Pilon, IMS Networks : la protection de la donnée qu’elle soit personnelle ou non est inscrite depuis longtemps dans notre ADN
septembre 2019 par Marc Jacob
A l’occasion de l’édition 2019 des Assises de la Sécurité, IMS Networks présentera les nouveautés de son offre de SOC avec en particulier une adaptation de son approche et de sa posture vis-à-vis de l’évolution des menaces. Il s’agit pour IMS Networks de permettre à ses clients de réduire le temps de détection en fiabilisant et automatisant les mécanismes de protection bien connus.
Selon Arnaud Pilon, Directeur Cybersécurité d’IMS Networks, la protection de la donnée qu’elle soit personnelle ou non est inscrite depuis longtemps dans l’ADN de son entreprise.
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Arnaud Pilon : IMS Networks a enrichi son offre de SOC en adaptant son approche et sa posture vis-à-vis de l’évolution des menaces. Il s’agit pour nos clients de réduire le temps de détection en fiabilisant et automatisant les mécanismes de protection bien connus comme ceux à base de signatures qu’elles soient sous forme de règles d’alerte ou issues de bases de cyber threat intelligence (code malveillant, adresse IP de C&C, etc.). Le temps dégagé par cette automatisation permet ainsi à nos analystes de procéder plus régulièrement à des recherches exploratoires encore appelées cyber threat hunting. Cette approche consiste à éplucher les événements collectés pour détecter des signaux faibles d’attaque. Nous nous appuyons bien souvent sur des algorithmes par apprentissage comme l’analyse comportementale d’utilisateur ou de poste de travail : cette approche fonctionne particulièrement bien sur les applications Cloud. Les dix années que j’ai passées au cœur du centre opérationnel de l’ANSSI m’ont conforté dans l’idée qu’il fallait aller plus loin pour véritablement débusquer des attaquants bien ancrés dans un système d’information. Nous empruntons d’ailleurs les techniques bien connues du monde de l’audit pour détecter des anomalies. Ainsi, nous prélevons des informations complémentaires sur les serveurs et applications qui ne sont pas intégrées dans un SIEM soit pour des raisons de performance ou soit pour des raisons de coût. Un droit d’accès trop permissif sur un système de fichiers ou un objet de l’annuaire Active Directory peut parfois faire office d’une porte-dérobée très discrète ou encore un serveur DNS externe dont les enregistrements auront été modifiés pour faciliter une attaque par l’homme-du-milieu. Cette approche permet d’aller plus loin dans la compréhension du système d’information de nos clients et réduire significativement un élément crucial de la cyberdéfense : la détection initiale.
GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2019 ?
Arnaud Pilon : Le phishing et le spearphishing restent le vecteur privilégié d’attaque visant les données de nos clients. Les auteurs de ces attaques débordent d’ingéniosité et de psychologie pour attirer les utilisateurs vers « le clic de trop ». Nous constatons que les services Cloud comme Office 365 sont particulièrement visés, il s’agit généralement de dérober le mot de passe de l’utilisateur. Nous avons également constaté des attaques moins frontales sur les applications en SaaS, elles consistent simplement à demander des autorisations à une application tierce malveillante : les communications Cloud-to-Cloud échappent aux règles de sécurité du réseau interne et constituent un nouvel enjeu de détection.
Enfin même si le cours des cryptomonnaies s’est effondré depuis le début de l’année 2018, la compromission de serveurs Web ou RDP mal configurés ou n’ayant pas le niveau de correctif adapté entraine quasiment systématiquement l’installation de mineur de cryptomonnaie. Ces attaques ont remis au goût du jour la supervision de la consommation CPU par le SOC !
GS Mag : Quid des besoins des entreprises ?
Arnaud Pilon : Nous constatons un réel besoin d’homogénéisation et de simplification des différentes solutions acquises au cours de l’histoire et des transformations de l’entreprise. L’objectif est d’exploiter des outils interopérables afin de limiter les actions manuelles, réduire les dépenses et obtenir ainsi de meilleures performances. Ce mouvement est accentué par la pénurie de ressources humaines compétentes en informatique, en particulier dans le domaine de la cybersécurité. L’automatisation des tâches à faible valeur ajoutée et l’orchestration des différents outils autour de workflows métier bien définis sont au cœur de l’évolution des produits de sécurité. L’explosion des API participe évidemment à cette tendance.
La diversité des supports numériques et des moyens d’échange est appuyée par le besoin de communication transverse au sein de l’entreprise. Cumulé à un marché extrêmement prolifique en matière de solution, il est de plus en plus difficile pour la DSI ou le RSSI de prendre le temps de retenir la juste solution. Les services cloud en SaaS ont naturellement répondu à cette attente du fait de leur intégration rapide, mais aussi parfois comme une solution de facilité au prix d’une forme de souveraineté numérique. Côté infrastructure les besoins sont comblés de manière similaire et le cloud hybride est devenu un quasi standard notamment par l’utilisation d’Azure. Face à cette évolution, la donnée et les moyens d’y accéder sont au cœur des préoccupations de la transformation numérique : il devient nécessaire de retrouver une visibilité unifiée pour homogénéiser les différentes politiques de sécurité.
GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?
Arnaud Pilon : Sur les aspects cybersécurité, ces enjeux ne se traduisent ni plus ni moins par la question de la sécurité et de la confiance dans la supply chain. Il s’agit là d’un véritable enjeu stratégique pour les prochaines années pour soutenir la confiance dans le numérique. Le rapport annuel 2018 de l’ANSSI souligne d’ailleurs ce phénomène par les attaques par rebond (fournisseur, prestataire) – phénomène d’ampleur –préoccupant par son efficacité- qui occupait une grande partie des équipes lorsque j’étais responsable des activités de réponse aux incidents du CERT-FR. Pour un MSSP comme IMS Networks, la priorité est de nous protéger afin de mieux protéger nos clients dans le cas où il est la cible finale d’une attaque. Très rapidement, nous avons opté pour augmenter le niveau de qualité dans notre organisation en étendant notre certification ISO 27001 aux activités du SOC. Notre participation à des groupes de travail comme la qualification PAMS (Prestation d’Administration et de Maintenance Sécurisées) de l’ANSSI complète notre orientation avec une approche plus opérationnelle. Le positionnement singulier d’IMS Networkscomme opérateur télécom, hébergeur Cloud privé et prestataire de cybersécurité permet de limiter significativement la sous-traitance et de gagner en maitrise sur toute la chaine de production. Par exemple, la gestion du WAN chez nos clients est opérée par notre infrastructure SD-WAN en continuité et cohérence des NFV déployés par l’équipe cybersécurité.
IMS Networks a également engagé une démarche de transparence, nous pensons qu’il s’agit d’un critère nécessaire afin d’instaurer la confiance. Nous attachons ainsi beaucoup d’importance à partager avec nos clients nos méthodologies et les mécanismes de contrôle ou d’audit associés.
Nous suivons en permanence l’évolution de la menace et les solutions efficaces associées afin d’anticiper toute tendance de fond pouvant influencer notre stratégie. A ce titre, l’offre CASB d’IMS Networks suscite un véritable intérêt et parfois une découverte salutaire pour nos clients engagés dans le cloud public. L’objectif est de gagner à nouveau en visibilité sur les usages des applications en SaaS, limiter les dérives de la politique de sécurité à l’infrastructure externalisée et évidemment intégrer les alertes de sécurité au SOC. De la même manière, le chiffrement massif des communications et la diversité des usages ont déplacé le besoin de détection sur le poste de travail. Notre SOC intègre les EDR déjà existants chez nos clients, mais le cas échéant nous sommes en mesure de proposer l’offre la plus adaptée aux besoins (on-premise, cloud native, module de réponse/réaction seulement cohabitant avec l’antivirus existant, etc.).
GS Mag : La sécurité et la privacy « by design » sont devenues incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?
Arnaud Pilon : La protection de la donnée qu’elle soit personnelle ou non est inscrite depuis longtemps dans l’ADN d’IMS Networks. Notre positionnement particulier d’opérateur télécom, hébergeur et fournisseur de service de sécurité nous permet d’adopter une véritable stratégie de défense en profondeur pour protéger chaque maillon de traitement et de stockage de l’information. IMS Networks s’applique d’ailleurs ses propres offres afin d’en éprouver les conséquences en milieu réel.
« Engagé pour un monde numérique plus sûr. » est la mission d’IMS Networks. Le numérique est certes un formidable outil d’amélioration de la compétitivité de nos entreprises et administrations mais il doit aussi être considéré comme un véritable enjeu de sécurité et de souveraineté. Dans un contexte de forte dépendance aux technologies numériques essentiellement américaines, notre vulnérabilité aux cyber-risques est manifeste. Notre engagement pour la souveraineté de nos clients se traduit concrètement par un devoir de conseil et par le développement de services de sécurité en mode SaaS hébergés dans nos datacenters sur le territoire national et managés par nos équipes dans notre SOC privé en France. Nous scrutons ainsi les évolutions réglementaires pouvant impacter nos clients directement ou non (NIS, Cloud Act, etc.).
GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?
Arnaud Pilon : L’accumulation des technologies et des solutions complexifie le travail du RSSI à protéger les données et les traitements associés. Cette complexité joue défavorablement à réagir efficacement face à une attaque et plus généralement à avancer sur des projets structurants (gouvernance et conformité). Le retour aux fondamentaux (« Back to basics ») n’a jamais pris autant de sens qu’aujourd’hui avec en ligne de mire la question de la protection des données à caractère personnelles. Quel que soit le contexte, IMS Networks s’emploie à simplifier des systèmes complexes issus d’héritage technologique et organisationnel. Les systèmes doivent être pensés pour être avant tout facilement auditables et évolutifs. La difficulté à gérer les correctifs de sécurité montrent, par exemple, à quel point nous sommes loin d’avoir des pratiques satisfaisantes et élaborer des systèmes durables au-delà de quelques années.
L’aspect humain est évidemment un enjeu primordial de défense en profondeur. La sensibilisation des utilisateurs est une tâche permanente qui vise à développer une véritable culture sécurité. Au sein d’IMS Networks l’ensemble des employés sont régulièrement sensibilisés aux risques propres à leur métier par exemple les commerciaux sont par nature itinérants et sensibles à des attaques de proximité (indiscrétion sur leur écran, clé USB, etc.). Il y a également un véritable enjeu de formation continue des équipes en charge des systèmes d’information. Je suis toujours étonné par le manque de connaissance des administrateurs dans le domaine Windows plus spécifiquement concernant l’Active Directory. Le potentiel de cette fonctionnalité de sécurité intégrée à votre licence Windows Server est souvent largement sous-estimé (et éviterait certains doublons logiciels…donc des économies). Le mouvement vers le cloud rend cette technologie d’autant plus stratégique pour l’entreprise. Les technologies évoluant constamment, il est essentiel de former les administrateurs tout au long de leur activité.
GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?
Arnaud Pilon : Le métier de RSSI est très exigeant et il est nécessaire d’être entouré d’un partenaire polyvalent, pragmatique et capable d’adapter son offre aux contraintes métier.
Biographie
Arnaud Pilon a rejoint IMS Networks en février 2019 au poste de Directeur Général Délégué de la Business Unit Cybersécurité et a pour responsabilité le pilotage des activités d’infogérance de la cybersécurité d’IMS Networks.
Arnaud PILON est ingénieur en science informatique, sécurité réseau et intelligence artificielle. Il a débuté sa carrière comme auditeur de la sécurité des systèmes d’information chez Thales. Ses dernières fonctions étaient celles de Chef de la division de réponse aux incidents de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Contact :
Arnaud PILON Linkedin
www.imsnetworks.com
Articles connexes:
- Christophe Baron, Itrust : Les SOC à base d’IA permettent de renforcer le niveau de sécurité des organisations
- Fabien Miquet, Siemens Digital Industries : Le centre de gravité de la cybersécurité industrielle est à l’intersection des mondes de l’entreprise
- Laurent Cayatte et Nicolas Verdier, Metsys : la meilleure stratégie financière est de favoriser l’investissement dans la cybersécurité en amont des projets
- Ramyan SELVAM, Juniper Networks : SD-WAN, la sécurité doit être prise en compte dès la genèse des projets
- Jacques de La Rivière, Gatewatcher : Le concept de SOAR est un enjeu majeur pour les entreprises
- Marc Behar, CEO d’XMCO : l’anticipation des menaces passe par du pentest et du déploiement d’outils de cyber-surveillance
- Nurfedin Zejnulahi, Trend Micro : les entreprises doivent détecter les menaces pour y réagir rapidement
- Christian Guyon, Forcepoint : la clé de la cybersécurité moderne repose sur la compréhension du comportement
- Patrice Puichaud, SentinelOne : Nous offrons optimisation, visibilité et protection sur les SI pour un petit budget
- Stéphane Dahan, CEO de Securiview : Back to basic !
- Alexis Bouchauveau, Skybox Security : les RSSI doivent considérer la cybersécurité comme un levier commercial
- Christophe Grangeon, DG d’USERCUBE : Les RSSI ne doivent plus hésiter à faire basculer leurs projets IAM / IAG en mode SaaS
- Philippe Rondel, Check Point Software Technologies : Diminuer la surface de risque est insuffisant, il faut aussi déployer des systèmes de protection
- Bogdan Botezatu, Bitdefender : la cybersécurité est un sport d’équipe avec des règles pour protéger l’entreprise
- Guillaume Masse, Rapid7 : les RSSI doivent développer leur approche de la cybersécurité par les risques pour mieux convaincre les métiers et les directions
- Antoine Coutant, Synétis : Anticiper les menaces, c’est empêcher qu’elles ne se produisent
- Lookout : Les risques mobiles doivent être pris en compte
- Benjamin Leroux, Advens : Concentrez-vous sur les travaux à valeur ajoutée et laissez Advens s’occuper du reste !
- Arnaud Lemaire, F5 : Penchez vous sur l’orchestration de la sécurité
- Xavier Lefaucheux, WALLIX : Nous accompagnons les RSSI dans leur futur numérique sécurisé
- Christophe Auberger, Fortinet : Il faut sortir d’une approche de la sécurité en silo
- Théodore-Michel Vrangos, I-TRACING : Nous sommes présents auprès des RSSI pour leur apporter toute notre expertise
- Pour les Assises, Brainwave met de l’intelligence (artificielle) dans les revues de comptes
- Emmanuel Meriot, Darktrace : Antigena protège le parc numérique jour et nuit, week-end et jours fériés
- Jean-Dominique Quien, inWebo : la sécurisation des accès est un sujet trop sensible pour être confié à des acteurs qui n’y ont pensé qu’après coup
- Pierre-Yves Pophin et Christophe Jourdet, NTT Ltd. France : tous les départements d’une entreprise sont concernés par les risques potentiels liés à la numérisation
- Eric Haddad, Google Cloud : nous mettons notre priorité sur la security-by-design et de privacy-by-design
- Julien Tarnowski, Forescout Technologies : Notre plateforme apporte visibilité et contrôle du réseau
- Eric Dehais, Oppida : la sécurité est l’affaire de tous et ne doit pas seulement reposer sur les épaules d’un RSSI
- William Culbert, BeyondTrust : les solutions d’hier ne sont pas toutes les solutions de demain
- Ghaleb Zekri, VMware : il faut encourager une culture de sensibilisation et de collaboration entre les métiers et les équipes de sécurité
- Christophe Jolly, Vectra : l’automatisation est un des éléments clés pour anticiper les défis du recrutement et de fidélisation des collaborateurs
- Fabien Corrard, Gfi Informatique : Exploitez vos logs pour améliorer votre posture sécurité
- Frédéric Julhes, Airbus CyberSecurity France : les entreprises doivent développer une approche globale de la sécurité
- Philippe Courtot, Qualys : la gratuité contribue à faire évoluer la sécurité dans la société
- Julien Chamonal, Varonis : détecter les accès illégitimes aux données est la clé de voûte de la sécurité
- Hervé Rousseau, Openminded : « Pragmatisme », le maître mot d’une bonne gestion et gouvernance des identités
- Aurélien Debièvre, Citalid Cybersécurité : « Construisons ensemble votre stratégie de gestion du risque cyber ! »
- Nicolas Petroussenko, Okta : connectez les bonnes personnes aux bonnes technologies au bon moment
- Renaud Templier, Devoteam : la transformation numérique nécessite de repenser son approche sécurité
- Paul Bayle, Atos : comment suivre le niveau de sécurité global de son SI ?
- Gérôme Billois, Wavestone : RSSI, profitez de cette prise de conscience pour vous rapprocher du métier
- Arnaud Gallut, Ping Identity : Nous souhaitons offrir l’expérience client la plus simple, fluide et sécurisée possible
- Faycal Mouhieddine, CISCO : la stratégie « Zero Trust » répond aux enjeux du paysage informatique
- Dagobert Levy, Tanium : Il est vital de savoir ce que l’on doit protéger !
- Didier Guyomarc’h, Zscaler Les RSSI doivent mettre en place les processus élémentaires en matière d’hygiène de sécurité et de contrôle d’accès
- Gilles Castéran, Accenture Security France : les entreprises doivent construire une culture de la sécurité pour se protéger collectivement et individuellement
- Alexandre Delcayre, Palo Alto Networks : la priorité des RSSI doit être d’optimiser et d’automatiser les opérations autour de la cybersécurité
- Bernard Debauche, Systancia : des solutions concrètes existent pour permettre de mieux maitriser l’accès de tiers aux ressources IT critiques de leur SI
- Daniel Benabou et Daniel Rezlan IDECSI : les RSSI ne doivent pas avoir peur du changement, ni de responsabiliser l’utilisateur dans leur approche de la cybersécurité
- Alexandre Souillé, Olfeo : Optez pour une solution dédiée telle que le Proxy d’entreprise, c’est la garantie d’une protection optimale contre les cybermenaces !
- Laurent Theringaud, Ercom : la gamme de produits d’Ercom fournit des solutions pour les DSI, validées par les RSSI
- David Grout, FireEye : il est important de pouvoir s’évaluer de manière factuelle, régulière et répétitive pour comprendre et maitriser son risque
- Guillaume Gamelin, F-Secure : La cybersécurité évolue très rapidement mais notre expérience de plus de 30 ans peut faire la différence chez vous !
- Jean-Benoît Nonque, Ivanti : En matière de cybersécurité les entreprises doivent « penser automatisation »
- Jean-Michel Tavernier, MobileIron : la réduction des cyber-risques passe par la sensibilisation et les outils techniques
- Eric Fries, ALLENTIS : « Simplifier la mise en conformité avec la LPM »
- Fabrice Clerc, de 6Cure : la lutte contre les cybermenaces passe par une posture collaborative entre éditeurs
- Fabrice Bérose, Ilex International : Travailler avec Ilex, c’est privilégier une relation individualisée basée sur l’agilité, la réactivité et l’adaptabilité
- Ronan David, EfficientIP : il faut remettre en cause en permanence les solutions établies et les processus
- Jérôme Chagnoux, Oracle France : la meilleure façon de limiter les risques est de ne pas freiner l’adoption des nouvelles technologies
- Coralie Héritier, IDnomic : il faut transcender le seul objectif de protection, et proposer au marché des solutions de cybersécurité véritablement créatrices de valeur ajoutée
- Chardy Ndiki, Contrast Security : il est important de moderniser vos outils de sécurité applicatives
- Ludovic de Carcouët, CEO de DIGITEMIS les dirigeants attendent des RSSI des propositions concrètes et une vision rassurante
- Francois Delepine Venafi : Le défi de la cybersécurité est de taille et nécessite des outils et 3 principes : visibilité, intelligence et automatisation
- Nabil Bousselham, Veracode : Les RSSI doivent adopter une approche proactive en utilisant des outils modernes et de l’automatisation
- Kevin POLIZZI, Jaguar Network : La maîtrise de la sécurité des applications est un enjeu majeur pour toute entreprise
- Joël Mollo, CrowdStrike : Avoir un regard nouveau sur sa sécurité est devenu primordial
- Van Vliet, Digital Guardian : les outils tout en un peuvent simplifier le travail des équipes sécurité
- Bruno Leclerc, Sophos : à chaque entreprise son accompagnement
- Philippe Corneloup, Centrify : il est primordial de mettre en place une sécurité de « Zero trust Privilege »