Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Guillaume Garbey, Varonis : le RGPD a légitimé des projets sécurité qui avaient été repoussés pendant de nombreuses années

janvier 2019 par Marc Jacob

Lors de l’édition 2019 du FIC, Varonis mettra l’accent sur la réduction des risques qui passe par la découverte et de classification des données à caractère personnel. Guillaume Garbey, Country Manager France Varonis considère que le RGPD a légitimé des projets sécurité qui avaient été repoussés pendant de nombreuses années.

Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?

Guillaume Garbey : Les entreprises continuent de travailler à leur mise en conformité au RGPD. Elles nous font remonter des questions et problématiques très concrètes que nous avons décidé d’aborder à l’occasion du FIC 2019 : comment optimiser la gestion du risque, et comment outiller le renforcement du droit des citoyens dont le droit d’accès rectification ? S’agissant de la gestion du risque, nous mettrons l’accent pendant le FIC sur la démarche de réduction du risque proposée par Varonis :
Découverte des DCP (Données à Caractère Personnel) – Comment notre moteur de classification et nos patterns RGPD permettent de mener cette tâche rapidement, de manière pragmatique et unique sur de gros volumes de données, on-premise et online.
Labélisation des données avec l’intégration avec AIP de Microsoft notamment au travers de notre solution Data Classification Labels Réduction du profil de risque de manière industrielle et automatique avec Automation Engine
Mise en place des mesures détection pour se protéger contre les cyber attaques et les menaces internes avec des Threat Model basés sur du machine learning et ciblés sur le GDPR
Mise en place de contrôles préventifs dont revues de droits ciblées pour atteindre le grâle du principe de moindre privilège en le ciblant sur les DCP.

GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy «  by-design », thème du FIC 2019 ?

Guillaume Garbey : L’une des principales problématiques liées à la « privacy-by-design » lorsque l’on parle des données et de leur gouvernance réside dans la difficulté à définir cette confidentialité sur les données non-structurées. Cette difficulté à deux explications : le poids de l’historique qui est souvent important (quantité des données, non-maitrise de leur nature, de leur sensibilité, de leur usage, schémas de permissions ineffectifs, …), ou l’absence de mise en place d’une gouvernance autour des données au préalable de l’ouverture d’un service Cloud, tel qu’Office 365 pour prendre un exemple concret.

Le « privacy-by-design » semble également assez antinomique avec la volonté des entreprises d’une part, et des utilisateurs d’autre part, de disposer de services collaboratifs offrant des possibilités de partage de l’information avec souvent la perte de maitrise du niveau de sécurité.

GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?

Guillaume Garbey : Ils sont simples : Sensibilisation, définition d’une gouvernance pour leurs données, et choix des bons outils. Sensibiliser les utilisateurs, les partenaires, l’informatique. Définir une gouvernance – sans gouvernance autour des données il est impossible de garantir le niveau de sécurité de ces dernières. Enfin, outiller, c’est à dire mettre en place des capacités de classification puissantes, de détection avancée, et de réduction du risque de manière automatique. Le machine learning est un plus afin de réduire le niveau de faux positifs, de faciliter le travail des analystes, et de détecter les signaux faibles.

GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?

Guillaume Garbey : Les chantiers juridiques sont engagés ou terminés – constitution du registre de traitement, revue des mentions, revue des contrats, etc. En revanche nous distinguons toujours deux grandes problématiques que les entreprises éprouvent beaucoup de mal à gérer : la gestion des champs libres (éviter le cas de collecte de données interdites, insultes, religion, etc.) et les BCR (Binding Corporate Rules) lorsque cela se justifie.

Le volet gestion de risque a été intégré dans les schémas directeurs et des mesures organisationnelles et techniques sont en cours d’implémentation pour réduire le risque d’incident de sécurité. Néanmoins le niveau de maturité est encore hétérogène en fonction des verticaux, de la nature des activités (B2C/B2B, etc.) et de la taille des sociétés concernées. Le maillon faible reste encore et souvent les données non structurées sur les serveurs de fichier, le cloud, etc. ou la sécurité de l’identité (Active Directory), véritable porte d’entrée vers les données et les applications. Concernant les données, le challenge est double, il concerne évidemment la sécurité, mais aussi la capacité à pouvoir répondre à des demandes de droits d’accès / rectification en intégrant les millions, voire des centaines de millions de fichiers qui contiennent des données personnelles.

De manière certaine, le RGPD a légitimé des projets sécurité qui avaient été repoussés pendant de nombreuses années. C’est le cas notamment des projets de classification, de labellisation, de SOC (Security Operation Center). Nous constatons également, une remontée en puissance du normatif (ISO27001) sur le périmètre des données clients, véritable accélérateur de la mise en conformité RGPD et de garantie de confiance pour les clients, les partenaires et les fournisseurs.

GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?

Guillaume Garbey : Du côté des attaques, la nature ne changera guère, mais c’est leur fréquence et leur taux de réussite qui augmentera :

o Le phishing reste la technique la plus simple et efficace pour obtenir les premiers éléments pour exfiltrer des données

o Les attaques renforcées par de l’IA : les cybercriminels pourront par exemple automatiser le ciblage de leurs victimes potentielles. Ils pourront aussi permettre aux logiciels malveillants d’identifier la vulnérabilité des réseaux et le niveau de réactivité des responsables de la cybersécurité.

o Les ransomwares : le plus en plus évolués, ils ciblent désormais uniquement les données sensibles, dont les données à caractère personnel, qu’elles soient hébergées dans le Cloud ou sur des serveurs on-premise.

o Menaces Etatiques : la mondialisation des économies, et la compétition technologique ou économique féroce que se livrent les grandes entreprises voire les nations fait que l’on verra de plus en plus d’attaques massives sur de grandes entreprises via l’introduction de vulnérabilités, des employés malveillants, des campagnes de phishing, etc.

o La démocratisation de la vente sur le darkweb, où il devient de notoriété publique que les données à caractère personnel comme une carte vitale, un numéro de carte bancaire, un listing d’email, des mots de passe, peuvent rapporter gros.

Dans un contexte économique compliqué un employé peut être plus facilement tenté de « vendre » des données personnelles. Ces pratiques il y a quelques années étaient non seulement marginales mais ne concernaient surtout que la propriété intellectuelle.

Coté défense, les entreprises se dotent des solutions de sécurité de nouvelle génération qui intègrent de l’intelligence artificielle, ou plus exactement du machine learning. Ces solutions ne sont pas miraculeuses mais permettent de détecter l’indétectable et facilitent d’autant le travail des analystes sécurité. Concernant la gestion du risque sur les données non structurées, les entreprises ont compris qu’il était nécessaire d’avoir une approche plateforme qui intègre l’ensemble des capacités nécessaires à leur protection :

Classification & Labellisation
Collecte des traces sur les entrepôts de données, et l’Active Directory
Télémétrie, détection des cyber attaques
Gestion des permissions, revues d’habilitations
Remédiation & réduction de l’exposition au risque

GS Mag : Quel est votre message à nos lecteurs ?

Guillaume Garbey : La meilleure façon de mettre en place une stratégie de compliance ou de sécurité de vos données est de connaitre l’état des lieux. Varonis vous propose de réaliser un Data Risk Assessment gratuit et rapide, pour le définir et vous permettre de prendre les mesures adaptées.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants