Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Eric Haddad, Google Cloud : nous mettons notre priorité sur la security-by-design et de privacy-by-design

octobre 2019 par Marc Jacob

Cette année à l’occasion des Assises de la Sécurité, Google Cloud insistera sur sa certification HDS (Hébergeur de Données de Santé) obtenu en juillet dernier et sur son approche de la sécurité : la double authentification, avec la clé Titan désormais disponible sur le marché français. Pour Eric Haddad, Directeur Général de Google Cloud son entreprise met sa priorité sur la security-by-design et de privacy-by-design véritablement holistique qui est issue de plus de 20 années de pratique de la sécurité dans le cloud.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Eric Haddad : Les Assises de la Sécurité sont pour nous l’occasion de rencontrer les RSSI et de présenter notre approche de la sécurité informatique et en particulier celle des données. Nous avons une approche de security-by-design et de privacy-by-design véritablement holistique qui est issue de plus de 20 années de pratique de la sécurité dans le cloud, de la protection de huit services ou applications qui ont chacune plus d’un milliard d’utilisateurs et de la gestion d’ une grande partie du trafic Internet qui doit bien sûr être sécurisé.

Cette année, nous allons notamment revenir sur notre certification HDS (Hébergeur de Données de Santé) que nous avons obtenue début juillet et dont l’exigence particulièrement élevée valide la sécurité de nos infrastructures.

Nous parlerons également des derniers éléments qui viennent compléter notre offre et notre approche de la sécurité : la double authentification, avec la clé Titan désormais disponible sur le marché français, le programme de protection avancée qui aide à protéger les comptes personnels Google de toute personne susceptible de subir des attaques ciblées et de son extension aux clients de G Suite, du blocage automatique de l’accès aux applications tierces que l’entreprise n’a pas explicitement marquées comme fiables ou encore de l’activation de la vérification enrichie de l’analyse des emails entrants pour détecter les tentatives de phishing, les programmes malveillants et les pièces jointes afin de rechercher de contenu de ce type.

GS Mag : Quel sera le thème de votre conférence cette année ?

Eric Haddad : Nous allons présenter la gestion de la sécurité et de la protection des données dans le cloud. Comment Google protège son infrastructure, quelle est notre stratégie en termes de sécurité et de conformité. Notre objectif n’est pas tant de nous vanter ni de faire un catalogue de nos technologies disponibles, que d’aider nos clients à comprendre l’implication et l’intégration des différents moyens et outils que l’on met à leur disposition pour gérer la sécurité de leurs données dans le cloud, et quels bénéfices ils peuvent en tirer.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2019 ?

Eric Haddad : Nous observons bien entendu ces menaces de très près. Clairement, les attaques ciblées constituent un véritable problème pour les entreprises car elles ciblent des personnes bien précises, et ont pour objectif des données tout aussi précises. Cela passe encore bien souvent par le phishing, donc par l’email. Nous détectons et bloquons une très grande partie de ces attaques, notre service de messagerie Gmail est considéré particulièrement sûr, aussi bien dans sa version grand public que pour les entreprises. Pour les combattre c’est une question à la fois de technologie bien sûr, mais également de process et d’éducation. C’est un effort permanent. Comme nous sommes les premiers, au sein de Google, à utiliser les produits et services que nous mettrons à disposition du marché, nos collaborateurs ont été par exemple les premiers à disposer d’une clé d’authentification et d’un mot de passe unique.

GS Mag : Quid des besoins des entreprises ?

Eric Haddad : Les besoins des entreprises tiennent en 2 mots : Sécurité et Confidentialité.
Il est indispensable que ces 2 points soient assurés, qu’ils soient considérés et respectés lors de la migration des données d’une entreprise dans le cloud, et lors leur utilisation par celle-ci, qu’ils ne l’entravent pas mais bien au contraire qu’ils la facilitent.
La sécurité et la confidentialité sont deux éléments clés pour générer de la confiance, indispensable pour la croissance.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Eric Haddad : Les entreprises, nos clients, ont besoin de contrôler leurs données. Cette exigence de contrôle était un besoin identifié dès les tout débuts du cloud, il est à l’évidence toujours d’actualité, il perdurera demain et après-demain. Notre priorité a été, est et continuera donc d’être la sécurisation des données de nos clients. Nous étions par exemple le premier fournisseur de cloud à chiffrer par défaut les données en repos et en transit. Nous offrons une transparence unique à nos clients comme avec Access Transparency, qui fournit un enregistrement complet des accès manuels aux données clients par nos ingénieurs quand ils répondent à un ticket de support de ce même client. Cette volonté de transparence se retrouve dans d’autres fonctionnalités comme Cloud Audit Logs, qui présente une vue complète des activités d’administration des données et, sur l’ensemble de la société, notre “transparency report ” qui détaille les données demandées par chaque gouvernement.

Cette priorité donnée à la sécurisation des données de nos clients et le contrôle qu’ils sont en droit et devoir d’avoir sur celles-ci est confirmée également par nos certifications aux normes les plus exigeantes de sécurité et confidentialité, comme la norme ISO 27018, qui oblige les fournisseur de cloud à ne pas utiliser les données résultant d’activités de marketing, sauf demande exprès de la part de la personne concernée.

Enfin, vous savez depuis juin que Chronicle, la société de sécurité informatique qui était dans le giron d’Alphabet, va rejoindre Google Cloud, pour une conjugaison des compétences et des portefeuilles produits, et répondre ainsi au mieux et au plus aux besoins de nos clients.

GS Mag : La sécurité et la privacy « by design » sont devenues incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?

Eric Haddad : La sécurité et la privacy “by design” ont été et continuent d’être au coeur de notre stratégie et de notre offre. Chacune et chacun au sein de Google est pleinement responsable de l’exécution de cette politique à travers l’ensemble de nos systèmes et l’ensemble de nos comportements au quotidien. Nous sommes très clairs et très transparents sur notre approche des données : les données appartiennent aux clients, pas à Google. Google ne vend jamais de données clients à des tiers. Google Cloud n’utilise pas de données clients à des fins publicitaires. Toutes les données clients sont chiffrées par défaut. Nous protégeons les informations contre les accès internes non-autorisés. Nous n’avons jamais permis de “porte dérobée” à quelque organisation gouvernementale que ce soit et nous ne le permettrons jamais. Nos standards de confidentialité, de ‘privacy’ sont régulièrement audités selon les standards internationaux les plus stricts.

GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?

Eric Haddad : D’une façon générale, et sans entrer dans un catalogue de technologies et de produits, la meilleure approche semble être de considérer en premier lieu la donnée, et de répondre à des questions a priori simples : quoi ? qui ? quand ? pourquoi ? comment ? Autre conseil : adoptez une approche “zero trust”, ce qui permettra de passer en revue le plus grand nombre de scenarios d’attaques externes ou internes. L’utilisation des données par l’entreprise à court, moyen et long termes, ses projets et activités reposant sur elles vont ainsi impacter l’approche de sécurité qui, dans tous les cas, devra être la plus stricte et la plus étendue possible.

GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?

Eric Haddad : Notre message est double : soyez exigeants et soyez objectifs. L’exigence est à l’évidence de mise car la protection et la sécurisation des données est essentielle si l’on veut développer de nouvelles activités qui reposent sur celles-ci, a fortiori mais évidemment pas uniquement dans le cloud.
Et soyez objectifs dans vos décisions, sans céder à certaines sirènes qui entonnent bien souvent la chanson de la peur : chaque fournisseur de cloud a des obligations technologiques, légales, contractuelles qui sont et doivent être consignées en toute transparence. Il serait dommage que votre entreprise ne puisse pas profiter, pour des raisons infondées, de l’avantage compétitif que représente la bonne utilisation des technologies numériques. Les meilleures décisions, et les plus sûres, s’appuient sur des faits et des chiffres.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants