Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Frédéric Saulet, Qualys : Devant les menaces qui planent sur les SI, nous encourageons les RSSI à adopter les 20 contrôles de sécurité critiques du SANS Institute

septembre 2013 par Marc Jacob

Lors des Assises de la Sécurité, Philippe Courtot CEO de Qualys présentera sa vision du « Continuous Security Monitoring » lors de la Keynote de vendredi. En outre, Qualys présentera ses dernières nouveautés sur la surveillance continue de la sécurité (Continuous Security) et la sécurisation des applications Web, notamment notre solution de Web Application Firewall (WAF) et co-animera un atelier avec la Sodexo. Devant la recrudescence des menaces qui planent sur les Systèmes d’informations, Frédéric Saulet, Managing Director Southern Europe, Benelux and Nordics de Qualys, encourage les RSSI à adopter les 20 contrôles de sécurité critiques du SANS Institute.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Frédéric Saulet : Notre Président et CEO, Philippe Courtot, lors de sa keynote du vendredi matin, présentera sa vision du « Continuous Security Monitoring » et discutera des nouvelles méthodes qui rendent cette approche plus efficace et moins coûteuse à déployer.

Nous co-animerons également un atelier avec Sodexo sur la gouvernance et les processus autour de la gestion des risques de sécurité, et sur l’automatisation de sa mise en œuvre. Les intervenants de cet atelier seront John Bruylant, CTO Sodexo, Philippe Netzer, IAM & Security Operational Services Director Sodexo ainsi que François Gratiolet, CSO EMEA Qualys.

En termes, d’innovation produit, Qualys présentera les dernières nouveautés sur la surveillance continue de la sécurité (Continuous Security) et la sécurisation des applications Web, notamment notre solution de Web Application Firewall (WAF).

Enfin, nous proposerons différentes animations sur notre Espace Rencontre, notamment un concours pour gagner une Vespa, dont le tirage au sort aura lieu le vendredi matin à 11h45.

GS Mag : Quelles nouvelles menaces avez-vous identifié ?

Frédéric Saulet : Le monde hyper-connecté des objets intelligents est la réalité d’aujourd’hui. Nous vivons dans une nouvelle ère où l’être humain s’appuie constamment sur ces objets intelligents, qui collectent et traitent des informations provenant de nombreuses sources. Cette tendance indéniable est à la fois une source d’opportunités considérables, mais aussi de risques importants pour les entreprises qui adoptent la culture du « toujours connecté », que ce soit avec leurs clients, leurs partenaires ou leurs collaborateurs.

Cette culture du « toujours connecté » expose en permanence les entreprises à des cyber attaques, non pas nouvelles mais toujours plus sophistiquées et ciblées, utilisant différents canaux de distribution (navigation Web, e-mails, ingénierie sociale, etc.), à de perpétuels changements de configuration du réseau et à des risques de non-conformité de leurs environnements informatiques. De plus, avec l’ajout en permanence de nouveaux équipements et applications sur les smartphones par les employés, il devient complexe pour les RSSI d’obtenir une visibilité globale des actifs et de leur niveau de sécurité, et de ce fait d’assurer correctement leur protection. Pour faire face aux défis engendrés par ce phénomène, les RSSI devront apporter des changements fondamentaux et nécessaires à leurs stratégies de cyber-défense. Pour cela, le RSSI doit connaître l’environnement de son organisation, dialoguer avec les Métiers, réfléchir et agir comme un stratège militaire. Connaître les ennemis de son entreprise et pas seulement les vulnérabilités de son organisation, le RSSI doit désormais penser comme un attaquant. C’est une évolution vers de nouveaux outils, de nouvelles compétence et parfois même un changement d’état d’esprit ! Il est urgent que le RSSI soit considéré à juste titre comme un stratège par les dirigeants de l’entreprise.

GS Mag : Comment va évoluer votre offre au regard de ces nouvelles menaces ?

Frédéric Saulet : Pour répondre à cet enjeu, la notion de surveillance continue de la sécurité (Continuous Security) est aujourd’hui présentée par l’industrie comme un nouveau concept de sécurité efficace pour protéger l’entreprise moderne contre les dernières menaces de sécurité et l’accroissement exponentiel des vulnérabilités.
Notre plateforme Cloud de sécurité et de conformité, intègre des services de surveillance continue de la sécurité, les RSSI peuvent désormais disposer en temps réel d’une visibilité complète de leurs actifs informatiques, détecter et remédier les vulnérabilités et réduire rapidement et de manière automatisée les risques de sécurité de leurs de leurs infrastructures et applications Web.
Du à la maturité et l’élasticité de notre plate-forme Cloud (Qualys réalise chaque année un milliard de scans), les nouveaux équipements ou applications et les changements de configurations du réseau sont intégrés aux politiques de sécurité de manière automatique et transparente. Nos services Cloud privé et public sont évolutifs, adaptés aux entreprises de toutes tailles et immédiatement déployables à l’échelle globale réduisant considérablement le coût de possession par rapport aux solutions de sécurité traditionnelles.

GS Mag : Quelle sera votre stratégie commerciale pour 2013/2014 ?

Frédéric Saulet : Nous poursuivrons nos efforts pour accompagner au mieux nos clients et partenaires. Pour cela, nous mettons actuellement en place une équipe dédiée aux petites et moyennes entreprises, ainsi qu’une cellule de support en France pour offrir encore plus de proximité.
Le cabinet d’analystes IDC a classé Qualys Numéro 1 du marché mondial de l’évaluation des vulnérabilités des équipements, pour la 5ème année consécutive. Il est primordial pour nous de maintenir cette position de leadership et de continuer d’offrir le meilleur service client possible.

Nous nous attachons aussi à accompagner nos partenaires afin d’assurer toujours plus de services de qualité autour des solutions Qualys. Le client bénéficie d’une vision globale des risques de sécurité et de conformité, cela lui garanti un support solide à la prise de décision.

Notre équipe, au plan international, permet une compréhension fine des besoins et des défis auxquels est confronté tout type d’organisation. Etendre nos services à de nouveaux secteurs et toujours mieux servir les clients sont des points essentiels.

GS Mag : Quel est votre message aux RSSI ?

Frédéric Saulet : Le RSSI est dans un environnement mouvant, il ne connaît pas de zones de confort. Il doit sans cesse démontrer sa valeur ajoutée, et se concentrer désormais sur la gouvernance, l’organisation, les opérations et processus, l’analyse de l’information et la prise de décisions, et non plus uniquement sur la mise en place de projets technologiques. Il se doit d’apporter des solutions concrètes au développement de son organisation.

Les cyber incidents médiatisés récemment indiquent que nous atteignons un point de basculement. Les investissements et les produits traditionnels de sécurité atteignant leurs limites, un retour aux basiques sécuritaires est plus que nécessaire !

Pour faire face à ces défis, nous encourageons les RSSI à adopter les 20 contrôles de sécurité critiques du SANS Institute. Des gouvernements l’ont mis en œuvre et ont pu obtenir des résultats tangibles et mesurables en réduisant jusqu’à 90% leur niveau de risque de sécurité ! Ces contrôles constituent une stratégie basée sur la gestion de risques et de priorités pour garantir une cybersécurité dynamique. Ils sont le résultat d’un processus consensuel qui a impliqué un large éventail de professionnels de la cybersécurité, auxquels il a été demandé : « Concrètement, qu’est-ce qui marche et par où commencez-vous ? » Les contrôles critiques de sécurité sont devenus un modèle de soutien aux RSSI et DSI. Ils aident ces derniers à déployer les processus et les outils les plus performants pour sécuriser l’ensemble de leurs systèmes informatiques en fonction du risque IT. Les contrôles critiques ont été définis d’après 4 principes fondamentaux : 1) opter pour une surveillance continue afin de tester et d’analyser la remédiation ; 2) automatiser les processus pour assurer la sécurité de manière efficace, fiable et évolutive ; 3) fournir des métriques classiques pour permettre à toutes les parties prenantes d’analyser et d’ajuster de manière objective les mesures de sécurité déployées ; et 4) responsabiliser l’organisation en s’appuyant sur l’expérience des attaques réelles pour bâtir des défenses efficaces.

En suivant les recommandations des 20 contrôles de sécurité critiques, les professionnels de la sécurité seront en mesure de garantir la confidentialité, l’intégrité et la disponibilité des leurs environnements informatiques, et de démontrer rapidement des résultats concrets et l’efficacité des programmes de sécurité à la Direction Générale de l’entreprise. Pour plus d’information, consultez http://www.sans.org/critical-security-controls/.


Voir les articles précédents

    

Voir les articles suivants