François Gratiolet, CYRATING : L’accès à une notation fait entrer la cybersécurité dans les COMEX
janvier 2018 par Marc Jacob
L’agence de Notation en cybersécurité CYRATING, lancera à l’occasion du FIC son offre de service CYRATING ORG destiné aux organisations publiques et privées. Ainsi, la société sera présente sur le Corner Innovation et participera à la tables ronde « Quels tableaux de bord pour le COMEX » animée par le CIGREF. François Gratiolet, Co-fondateur, Stratégie & Marketing de CYRATING considère que l’accès à une notation actionnable apporte cette compréhension commune à tous, et facilite le dialogue entre les dirigeants, les DSI et RSSI et fait entrer la cybersécurité dans les COMEX.
Global Security Mag : Quel est l’objectif de votre participation au Forum International de la Cybersécurité 2018 (FIC) ?
François Gratiolet : CYRATING est la 1ière agence de notation sur la cybersécurité en Europe. Les utilisateurs de CYRATING accèdent instantanément via notre plateforme technologique, aux notations cybersécurité de leur organisation, de leurs entités et/ou de leurs fournisseurs, partenaires, ainsi qu’à leur positionnement dans leur secteur d’activité respectif. L’accès au service ne nécessite aucune installation préalable ou de configuration particulière.
Pour nous, le FIC 2018 est un événement majeur en Europe où nous lancerons commercialement notre service CYRATING ORG destiné aux organisations publiques et privées. A ce titre, nous aurons un stand au corner innovation. De plus, nous participerons à la table ronde « Quels tableaux de bord pour le COMEX » animée par le CIGREF.
GS Mag : A l’ère de l’hyperconnexion, comment les entreprises ou les administrations peuvent-elles s’adapter pour lutter contre les cybermenaces ?
François Gratiolet :Durant l’année 2017, les grandes organisations telles que Saint-Gobain, Renault, FedEx, Maersk, le système national de santé au Royaume-Uni, Deutsche Bahn, Telefonica ont fait face à plus de 100M € de dommages et intérêts. Equifax a perdu plus de 5 milliards de dollars en capitalisation boursière en deux jours, le PDG, le DSI et le RSSI d’Equifax ont quitté la société.
Alors, comment faire à cette déferlante de cyber attaques ? Un « back to the very basics » est nécessaire ! Par exemple, mettre en place le protocole SPF (Sender Policy Framework) qui est un système de validation du courrier électronique conçu pour détecter l’usurpation d’emails, ou le protocole DNSSEC (pourtant défini depuis 2005 !) encore peu implémenté pour protéger les noms de domaine et les marques. Ce sont des mesures efficaces en matière de cybersécurité, et qui peuvent être déployées rapidement.
GS Mag : Selon vous, l’année 2017 a t-elle permis de sensibiliser le top management aux attaques ?
François Gratiolet :Depuis mai 2017 et l’attaque WannaCry, nous avons constaté une accélération de la prise en compte des enjeux cybersécurité par les conseils d’administration et leurs dirigeants. La cybersécurité fait désormais partie de l’agenda du CEO. Le top management souhaite comparer la maturité cybersécurité de son organisation avec celle des organisations de son secteur d’activité, comparer ses filiales entre elles, et identifier les fournisseurs les plus à risque dans sa chaîne de valeur business. En octobre 2017, James Lam, membre du conseil d’administration d’E * TRADE, déclarait au journal Forbes « je souhaiterais voir plus de métriques et d’analyses cybersécurité, y compris des commentaires d’experts de DSI et RSSI, sur l’environnement des menaces, les expositions aux risques et l’efficacité des contrôles clés » et « j’aimerais avoir une certaine assurance sur l’efficacité globale du programme cybersécurité et les signaux d’alerte rapide sur les menaces futures ».
Cependant, force est de constater que les dirigeants et spécialistes en cybersécurité ne disposent pas d’un vocabulaire commun : les spécialistes employant un jargon technique (APT, IOT, SOC…) et les dirigeants un vocabulaire financier et business. La notation cybersécurité permet au management, DSI et RSSI de collaborer avec un vocabulaire simple et commun, à savoir la notation. Chaque notation est fournie avec les métriques qui la constituent et les résultats des analyses réalisées, et permet à nos clients d’identifier au quotidien leurs axes d’amélioration en cybersécurité, de se fixer des objectifs raisonnables et de prioriser l’allocation de leurs ressources.
GS Mag : Comment la menace va t-elle évoluer en 2018 ?
François Gratiolet :Au regard des derniers rapports « Threat landscape » de l’ENISA, il est probable que les menaces de type botnets, dénis de service et malwares soient encore à la hausse. De plus, les incidents cyber et fuite de données seront encore plus visibles des conseils d’administration. En effet, l’obligation de notification dès mai 2018 du règlement RGPD et de la directive européenne NIS (en France 2,500 opérateurs environ seront concernés) va inciter les organisations à être encore plus responsables et transparentes en matière de cybersécurité à l’égard des parties prenantes (investisseurs, clients, partenaires et assureurs), et à exiger de la part de leurs fournisseurs des garanties strictes en matière de cybersécurité. A ce titre, la notation cybersécurité valorise la démarche cybersécurité d’une organisation d’une manière objective.
GS Mag : Quel est votre message à nos lecteurs ?
François Gratiolet :La cybersécurité est désormais un enjeu stratégique pour la gouvernance des entreprises et leurs conseils d’administration. Gérer leurs risques cybersécurité qu’ils soient internes ou externes via leurs fournisseurs et partenaires reste un immense défi pour les dirigeants.
Cependant, la cybersécurité n’est pas encore une discipline de management faute de vocabulaire commun, de données objectives, de métriques et de comparatifs.
L’accès à une notation actionnable apporte cette compréhension commune à tous, et facilite le dialogue entre les dirigeants, les DSI et RSSI. Fort de cette notation, la cybersécurité est donc à l’aune de devenir une priorité haute des directeur généraux, et c’est une très bonne nouvelle pour notre économie et sa résilience.
Articles connexes:
- Jean-Nicolas Piotrowski, ITrust : Prenez une longueur d’avance sur les menaces
- Loïc Guézo, Trend Micro : La gestion des patchs et la formation doivent être une priorité pour optimiser la protection des données
- Jacques de la Rivière, Gatewatcher : Les 0-Days vont se banaliser !
- Nicolas Arpagian, Orange Cyberdefense : Les organisations doivent investir pour élever leur niveau de sécurité
- Jan-Pieter Spaans, SANS Institute : Les entreprises doivent réévaluer l’expertise de leurs équipes
- Philippe Fonton, Nexus Technology : Nous sécurisons les accès des utilisateurs
- Vincent Riou, CEO Bluecyforce, directeur cybersécurité de CEIS : Il faut vivre la menace pour la comprendre et préparer ses défenses
- Frans Imbert-Vier, CEO d’UBCOM : Les technologies sont extraordinaires, seul l’usage qu’on en fait les rend vulnérables
- Guillaume Massé, RAPID7 : Nous aidons les entreprises à relever les défis en matière de sécurité dans cette nouvelle ère de l’hyperconnectivité
- Renaud GHIA, TIXEO : Pour une vision audacieuse, indépendante et réfléchie afin de gagner en souveraineté
- Antoine Coutant, Directeur Cybersécurité de Systancia : Nous allions innovation et simplicité !
- Eric Perraudeau, Qualys : les éditeurs doivent accompagner les entreprises dans la sécurisation du Cloud avec des outils adéquates
- Emmanuel Gras, Alsid : Sécurité l’Active Directory permet d’allier résilience et hyperconnexion
- David Grout, FireEye : Les entreprises doivent mettre en place des stratégies d’anticipation via la cyber veille
- Mathieu Gemo, Forecomm : Acquérir les bonnes pratiques ne demande pas un effort considérable, ni des moyens financiers colossaux
- Fabien Corrard, Gfi Informatique : Nos nouvelles offres de services vont permettre aux entreprises de se concentrer sur leur Business
- Eric Heddeland, Barracuda Networks : La sécurité est un tout qui va de la protection du SI à la sauvegarde des données
- Frédéric Saulet, LogPoint : Les Directions ne peuvent pas rester insensibles face aux cyber-menaces
- Benjamin Leroux, Advens : une sécurité alignée sur les enjeux métier et agile est la clé du succès
- Karl Buffin, Skybox Security : la complexité des menaces requiert une approche holistique de la sécurité
- Raphaël Illouz, Groupe NES : Devant l’évolution des menaces, les RSSI doivent se reposer sur des partenaires de confiance !
- Laurent Delaporte, Akerva : l’important n‘est pas de savoir si une entreprise va être attaquée mais comment elle va faire face à une cyberattaque
- Gérôme Billois, Wavestone : La cybersécurité doit avancer vers le déploiement des mesures basiques d’hygiène de sécurité et la mobilisation des dirigeants
- Sébastien Gest, Vade Secure : Nous avons une vision temps réel de l’état des menaces et de leurs évolutions
- Christophe da Fonseca, Paessler AG : Avec PRTG Network Monitor, nous détectons des activités frauduleuses au sein des réseaux
- Raphael Basset, ERCOM : Face aux cyber-menaces, il faut privilégier des solutions « privacy by design » et labellisées par l’ANSSI
- Mathieu Rigotto, IMS Networks : face aux menaces, tous les acteurs doivent prendre leur responsabilité
- Alexandre Souillé, Président d’Olfeo : Transformez le facteur humain en maillon fort et alliez le à votre sécurité web !
- Matthieu Bonenfant, Stormshield : La sécurité numérique est une responsabilité citoyenne qui est l’affaire de chacun
- Benoît Grunemwald, ESET : Le RGPD doit être appréhendé comme une opportunité stratégique
- Guillaume Gamelin, F-Secure : Nous nous positionnons comme une alternative européenne de la cybersécurité
- Arnaud Cailleau, Sopra Steria : Les entreprises doivent renforcer leurs dispositifs de sécurité en 2018 pour faire face aux cybermenaces
- Vincent Nicaise, Cybelius : la mise en œuvre de quelque bonnes pratiques de sécurité permet d’atteindre un premier niveau de sécurité
- Christophe Jolly, Vectra : L’IA va jouer un rôle extraordinaire et vite devenir fondamentale…
- Frédéric Julhes, Airbus : une bonne stratégie de sécurité doit reposer sur des facteurs humains et technologiques
- Coralie Héritier, IDNOMIC : Nous portons l’aventure humaine dans notre ADN dont le ressort est la créativité !
- Frédéric Benichou, SentinelOne : face aux attaques récentes, les entreprises doivent privilégier les solutions de nouvelle génération
- Adam Wojnicki, BearingPoint : Il est urgent de revoir les dispositifs de cybersécurité mis en place
- Ludovic Henze, Yourax : il faut impliquer davantage la sécurité dans tous les domaines de l’entreprise
- Emmanuel Besson, 6cure : chaque organisation est une cible potentielle d’attaques DDoS
- Alexis Boissinot, Brainloop : mieux vaut prévenir que guérir
- Xavier Lefaucheux, WALLIX : Les comptes et les accès à privilèges sont au cœur des dispositifs de cybersécurité
- Jean Larroumets, EGERIE : les organisations doivent industrialiser et automatiser leur processus d’aide à la décision
- Ramyan Selvam, JUNIPER NETWORKS : « Le réseau est le remède à la dangereuse fragmentation des solutions de sécurité »
- Michel Dran, Assystem Energy & Infrastructure : face aux nouvelles menaces, il faut adopter une démarche pragmatique