Fatima Mesdour, Pentera : Les RSSI doivent « Révolutionner le processus de tests en cybersécurité »
octobre 2022 par Marc Jacob
Pour sa première participation aux Assises, Pentera présentera sa plateforme de validation de sécurité automatisée qui valide de manière continue toute surface d’attaque informatique et indique aux entreprises la voie la plus rapide pour remédier aux vulnérabilités et assurer la cybersécurité. Selon Fatima Mesdour, GM France de Pentera les RSSI doivent « Révolutionner le processus de tests en cybersécurité ».
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Fatima Mesdour : Aujourd’hui, les entreprises utilisent de nombreux outils de sécurité différents pour protéger leur réseau et leurs ressources, et pourtant, malgré tous ces outils et protocoles mis en place, le taux de brèches continue de monter. Le problème n’est pas nécessairement que les entreprises ne possèdent pas de bons outils de sécurité, mais plutôt que les contrôles de sécurité ne remplissent pas leurs promesses. Comment pouvez-vous savoir si votre pare-feu ou votre XDR fonctionnent effectivement comme prévu ? La solution est tout simplement de les tester.
Notre thème pour la conférence de cette année est « Révolutionner le processus de tests en cybersécurité ».
Les services de tests de pénétration manuels sont extrêmement utiles, mais la plupart des entreprises n’ont pas les ressources suffisantes pour tester plus d’une ou deux fois par an. Nous révolutionnons le processus manuel traditionnel, en proposant une plateforme de validation de sécurité automatisée. Notre plateforme valide de manière continue toute surface d’attaque informatique et indique aux entreprises la voie la plus rapide pour remédier aux vulnérabilités et assurer la cybersécurité. Là où la plupart des solutions s’arrêtent, notre plateforme ne fait que commencer.
En un seul clic, notre plateforme émule l’ensemble de la kill-chain de cyberattaque, depuis les ressources en contact externe jusqu’au cœur de l’entreprise, et révèle les failles de sécurité les plus porteuses de risque. En utilisant les techniques réelles des hackers, la plateforme de Pentera met votre réseau à l’épreuve pour valider la sécurité là où elle fonctionne, et alerter là où elle échoue. La plateforme livre une roadmap de remédiation, qui permet aux équipes informatiques de travailler plus rapidement et améliore considérablement la posture de sécurité de leur organisation.
GS Mag : Quel sera le thème de votre conférence cette année ?
Fatima Mesdour : Ce que nous présentons aux Assises de la Sécurité est l’idée de « 1 clic pour tester tous vos contrôles de sécurité ».
La plateforme de Pentera redéfinit la validation de sécurité automatisée. Elle est la seule sur la marché à combiner une validation des surfaces d’attaque externe et interne. Avec nos solutions Core et Surface, nous offrons à nos clients une compréhension inégalée de leur exposition au risque sur l’ensemble de la kill-chain de cyberattaque, depuis les ressources en contact externe jusqu’aux joyaux de la couronne de l’entreprise. Notre plateforme bouleverse les approches traditionnelles de gestion de la sécurité. Le système ne se contente pas de révéler l’existence de vulnérabilités, il met en évidence le chemin d’attaque complet par lequel votre réseau peut potentiellement être exploité. Comme nous l’expliquons à nos clients, ce n’est pas la vulnérabilité qui importe, c’est le vecteur d’attaque.
Lors de la conférence, nous exposerons également deux de nos modules les plus récents, qui abordent deux menaces dont la croissance dans la communauté de la cybersécurité est particulièrement forte. Le premier module, appelé RansomwareReady, émule les variantes de ransomware les plus destructives connues (notamment Ryuk, WannaCry, Maze, Revil et d’autres) pour s’assurer que les entreprises ne sont pas vulnérables à ces exploits. Notre second module, appelé Credentials Exposure, recherche des identifiants compromis de nos clients et utilise ceux qu’il a pu trouver pour tester leurs contrôles de sécurité, afin d’assurer qu’ils ne sont pas exploités dans une cyberattaque. Le module utilise plusieurs milliards de points de données disponibles en ligne (dark web, sites de copie, et caches de données partagées par les cybercriminels), exactement comme le ferait un hacker réel.
GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2021 ?
Fatima Mesdour : Les identifiants divulgués ou volés posent un risque critique à toutes les organisations. Le rapport 2022 sur les investigations sur les brèches de données ((DBIR : Data Breach Investigations Report) que plus de 80 % des brèches d’applications web impliquent des authentifiants compromis. Chaque année, des milliards d’identifiants apparaissent sur le dark web, sur des sites de copie et dans des caches de données partagées par des cybercriminels. Ceux-ci sont souvent utilisés pour des attaques de prise de contrôle de compte, et exposent les organisations à des brèches, des logiciels rançonneurs et des vols de données).
Pour combattre la tendance croissante des attaques portées par des identifiants compromis, nous avons créé un nouveau module appelé Credential Exposure pour s’assurer que nos clients n’y sont pas vulnérables. Le module récolte des identifiants compromis, “hashés” ou en texte clair, en parcourant le dark web, les sites de copie et les caches de données, et les exploite dans des millions de vecteurs d’attaque, afin de fournir à nos clients des étapes d’atténuation acceptables pour tout risque résultant d’identifiants compromis.
GS Mag : Quid des besoins des entreprises ?
Fatima Mesdour : Étant donné la restriction générale des budgets et la pénurie mondiale de professionnels de la sécurité, les entreprises n’ont pas le budget l pour intégrer toujours plus de solutions, ni pour recruter suffisamment de personnel pour gérer leur surface d’attaque en croissance constante, exposée à des menaces toujours en évolution. Mais indépendamment des considérations financières, le mandat du CISO reste le même : protéger le réseau et les ressources de l’entreprise. Ceux-ci doivent donc maintenir leur posture de sécurité au sein d’un paysage de menaces en évolution rapide ; la clé est d’améliorer les performances des outils existants.
La validation de sécurité automatisée est le meilleur allié du CISO pour améliorer le ROI des investissements en sécurité. En mettant constamment à l’épreuve vos contrôles de sécurité, une validation de sécurité automatisée audite vos contrôles, valide les points où ils sont efficaces et met en évidence les risques de brèches sur votre réseau. La plateforme permet aux CISO de comprendre le risque réel auquel leur organisation est exposée, et valide le fonctionnement correct des contrôles de sécurité.
GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?
Fatima Mesdour : Pour permettre à nos clients de garder une longueur d’avance sur le paysage en croissance permanente des menaces de cybersécurité, nous évoluons constamment pour répondre aux nouveaux défis, en développant de nouveaux outils et modules et en programmant de nouveaux vecteurs de menaces dans notre système. Notre équipe de recherche à Pentera Labs, composée de plus d’une vingtaine de chercheurs en sécurité parmi les meilleurs au monde, qui ont travaillé au sein d’unités d’élite des forces de défense d’Israël, surveille proactivement les canaux d’intelligence sécuritaire pour identifier de nouvelles vulnérabilités critiques et détecter les techniques d’attaque les plus récentes utilisées par vos adversaires. Leur travail assure que notre solution évolue constamment pour protéger nos clients contre les nouvelles menaces.
Plus tôt cette année, nous avons lancé une nouvelle plateforme pour révolutionner le marché de la validation de sécurité automatisée, et devenir le premier partenaire à combiner la gestion de la surface d’attaque externe (EASM : External Attack Surface Management), la simulation de brèche et d’attaque (BAS : Breach and Attack Simulation) et les test de pénétration automatisés sur les réseaux d’entreprise, afin d’émuler entièrement la kill-chain de cyberattaque. Notre plateforme offre maintenant à nos clients une compréhension de l’ensemble des vecteurs d’attaque et des ressources exploitables, depuis les ressources en contact externe jusqu’au cœur de l’entreprise. Nos clients disposent désormais d’une visibilité inégalée sur l’ensemble du vecteur d’attaque, et d’une roadmap claire pour remédier à toutes leurs failles de sécurité avant qu’elles ne soient exploitées.
Nous avons d’autres projets à venir, notamment des produits couvrant d’autres surfaces d’attaque comme le cloud et protégeant les organisations contre d’autres techniques d’attaque comme le phishing.
GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?
Fatima Mesdour : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?
Lorsque votre réseau s’étend, votre surface d’attaque aussi. Lorsque la pandémie est survenue, les entreprises ont été forcées d’intégrer rapidement des capacités de mise en réseau à distance pour faciliter le télétravail. Pour beaucoup d’entre elles, ce fut leur première expérience avec ces capacités et avec la multitude de considérations de sécurité qui les accompagnent.
L’extension de la surface d’attaque est une conséquence naturelle de la croissance de l’ entreprise, et de l’ajout de nouvelles capacités, mais les organisations doivent s’assurer que leur sécurité suit le rythme. En testant continuellement votre réseau depuis la perspective d’un hacker, en production, notre validation de sécurité automatisée assure que vous restez toujours en contrôle et protégé contre les brèches de sécurité potentielles.
GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?
Fatima Mesdour : L’expansion continue du paysage des menaces doit être prise en compte, mais la pandémie a exacerbé la situation, en accélérant la transformation numérique et en forçant les entreprises à se doter de capacité de mise en réseau à distance avant d’avoir des contrôles de sécurité en place. En 2021, environ 50 CVE par jour étaient signalées, trop pour qu’une entreprise puisse se tenir à jour. Corriger chaque vulnérabilité de votre réseau est certainement une bonne idée, mais en pratique ce n’est pas une option faisable. Notre conseil consiste plutôt à choisir intelligemment ce que vous corrigez en comprenant comment les attaquants approchent votre réseau et vos ressources, et où résident vos risques réels.
Sans contexte, toute vulnérabilité peut être perçue comme une crise potentielle qui doit être corrigée immédiatement. Il est en fait possible pour une organisation d’avoir une vulnérabilité ayant un score « critique », mais qui en réalité ne pose aucun problème dans le contexte de sa configuration réseau particulière. Si la vulnérabilité n’est pas accessible aux hackers, la priorité de la remédiation diminue par rapport à une vulnérabilité dont le score est moins critique, mais qui est effectivement exploitable. Comprendre comment chaque vulnérabilité peut être exploitée permet aux équipes de sécurité de hiérarchiser les remédiations réellement critiques et celles qui peuvent attendre.
GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?
Fatima Mesdour : En fin de compte, ce que nous souhaitons faire comprendre aux RSSI, c’est qu’ils ne devraient pas avoir une confiance aveugle en leur sécurité sans la possibilité de la vérifier eux-mêmes.
Depuis longtemps, les organisations partent du principe que leurs contrôles de sécurité existants fonctionnent comme prévu, mais cette stratégie a conduit à d’innombrables brèches au fil des années. En émulant le comportement réel des hackers, une validation de sécurité automatisée permet aux organisations de mettre à l’épreuve leurs contrôles de sécurité en production, et de vérifier continuellement leur efficacité. En un seul clic, vous pouvez apaiser vos doutes et vérifier que vous êtes protégés.
- Contact commercial : Yonathan Guirchoun
yonathan.guirchoun@pentera.io
- Pour obtenir une démonstration
Articles connexes:
- Vladimir Kolla, Founder de Patrowl : il est essentiel de simplifier la cybersécurité pour les RSSI
- Maxime Alay-Eddine, Cyberwatch : La pertinence de l’offre française devait inciter les RSSI à étudier de près les solutions du groupement Hexatrust
- Christian d’Orival, CryptoNext Security : La migration post quantique est en marche
- Lionel Doumeng, WithSecure : Nous avons changé de nom pour créer les solutions adaptées à la co-sécurité
- Pierre-Yves Hentzen, CEO de Stormshield : nous nous tenons auprès des RSSI pour les aider à protéger les les biens comme les personnes lorsqu’il s’agit de risques industriels
- Olivier Tireau, SentinelOne : Les technologies sont essentielles mais la cybersécurité, c’est avant tout un sport d’équipe !
- David Grout, Mandiant : Le challenge le plus important pour les RSSI reste de démontrer le bien-fondé des investissements
- Benjamin Leroux, Advens : Nous devons unir nos forces et nos talents pour renverser le rapport de force entre attaquants et défenseurs
- Giuseppe Brizio, Qualys Technologies SA : L’approche de la cybersécurité doit être basée sur l’analyse des risques et les impacts en cas de cyberattaques réussies
- Thomas Manierre, BeyondTrust : Nous pouvons travailler conjointement avec les RSSI et les équipes concernées
- Gerald Delplace, Imperva : Le défi pour les entreprises sera d’obtenir une véritable visibilité et un contrôle de leurs données dans différents environnements
- Bertrand De Labrouhe, Gigamon : face aux menaces, la visibilité est un des leviers principaux de l’atténuation du risque de ransomware
- Jean-Michel Tavernier, ARMIS : les entreprises ont besoin de connaitre l’ensemble de leur réseau
- Rémi Habraken, SYNETIS : Quand on construit sa feuille de route sécurité, il faut conserver un équilibre Technologie - People - Process
- Théodore-Michel Vrangos, I-TRACING : Notre objectif est de délivrer une sécurité avant tout opérationnelle
- Christian Guyon, Forcepoint : Le SASE est dans toutes les têtes et toutes les communications
- Laurent Tombois, Bitdefender : les entreprises doivent adopter des capacités de détection et de réponse
- Julian Gouez, HelpSystems : Les entreprises ont besoin d’une protection complète contre un large éventail de menaces
- Olivier Spielmann Kudelski Security : la SSI est un travail d’équipe de confiance
- Alexandre Souillé, Président d’Olfeo : Nous souhaitons redonner de la sérénité aux DSI et RSSI dont l’anxiété s’accroît face à la menace omniprésente
- Nicolas Arpagian, Trend Micro : l’amélioration du pilotage de la SSI permet d’améliorer la conformité
- Clément Longépé, Make IT Safe : La cybersécurité et la conformité constituent de réels enjeux business
- Lucie Loos, Nameshield : Il est crucial de rappeler que le nom de domaine est la porte d’entrée sur le web
- Ghaleb Zekri, VMware France : le bien-être des salariés est une priorité que les RSSI devront prendre en considération
- Benoit Grunemwald, ESET : La connaissance de la menace et des acteurs malveillants est cruciale dans l’établissement de sa stratégie de défense et d’investissement
- Olivier Mélis, Checkmarx : Il est nécessaire d’inclure la sécurité très en amont du processus de développement, automatiser les contrôles tout au long du cycle
- Hervé Liotaud, SailPoint : Les programmes d’identités doivent être considérés comme un projet pleinement sécuritaire
- Arnaud Le Hung, BlackBerry : Les entreprises de sécuriser aussi les appareils considérées comme étant « hors de leur portée immédiate »
- Bernard Debauche, Systancia : La cybersécurité est une affaire globale de la gouvernance, aux risques, jusqu’aux les processus et outils
- Loïc Guézo, Proofpoint : La communication entre les RSSI et le conseil d’administration doit être plus que jamais mise en avant
- Jérôme Notin, www.cybermalveilance.fr : N’hésitez pas à faire parler de www.cybermalveillance.fr autour de vous, dans votre entourage tant professionnel que personnel !
- Daniel Benabou et Daniel Rezlan IDECSI : Notre promesse est de fournir une offre globale sur la sécurité des données
- Jean-Pierre Barré, WALLIX : Aujourd’hui, le PAM n’est pas un luxe, ou une option, c’est un prérequis
- Boris Lecoeur, Cloudflare : Nous souhaitons fournir aux RSSI une solution de cybersécurité tellement simple à implémenter et efficace face aux menaces, qu’elle s’en fait oublier
- Grégory Mauguin, SysDream : L’essence même de la SSI consiste à faire reposer la stratégie cyber sur une analyse de risques
- Dagobert Levy, TANIUM : Les RSSI doivent passer de l’image du blocker à celui d’enabler !
- Eric Fries, Allentis : Devant la complexité des menaces, les RSSI doivent gérer leurs priorités dans le bon ordre
- Olivier Morel, Inetum Software– Cybersecurity Solutions : Nous constatons une prise de conscience de la nécessité de protéger les identités et les accès sur le terrain
- Bernard Montel, Tenable : les entreprises doivent avoir une approche proactive, une hygiène cyber pour réduire le risque
- Nicolas Groh, Rubrik : le stockage est devenu le point central de l’entreprise et fédère les différentes fonctions de l’entreprise
- Frédéric Grelot, GLIMPS : Nous proposons une « eXtended Malware Analysis Platform » pour accompagner les RSSI dans leur stratégie de rationalisation des produits de cybersécurité
- Thiébaut Meyer, Google Cloud : Ne considérez le cloud public comme un risque mais comme une véritable opportunité pour la stratégie de cybersécurité
- Sumedh Thakar President et CEO de Qualys : Nous aidons les organisations à gérer les risques cyber, grâce à une plateforme unifiée qui permet de les mesurer, prioriser, et les contrer
- Xavier Mathis, Okta France : les RSSI doivent poursuivre leurs efforts de sensibilisation des COMEX aux problématiques de sécurité
- Les Assises 2022 : Pleins feux sur la Cyber assurance !