Guillaume Garbey, Varonis : le RGPD a légitimé des projets sécurité qui avaient été repoussés pendant de nombreuses années
janvier 2019 par Marc Jacob
Lors de l’édition 2019 du FIC, Varonis mettra l’accent sur la réduction des risques qui passe par la découverte et de classification des données à caractère personnel. Guillaume Garbey, Country Manager France Varonis considère que le RGPD a légitimé des projets sécurité qui avaient été
repoussés pendant de nombreuses années.
Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion
de la 11ème édition du Forum International de la Cybersécurité ?
Guillaume Garbey :
Les entreprises continuent de travailler à leur mise en conformité au RGPD. Elles
nous font remonter des questions et problématiques très concrètes que nous avons
décidé d’aborder à l’occasion du FIC 2019 : comment optimiser la gestion du
risque, et comment outiller le renforcement du droit des citoyens dont le droit
d’accès rectification ? S’agissant de la gestion du risque, nous mettrons
l’accent pendant le FIC sur la démarche de réduction du risque proposée par
Varonis :
Découverte des DCP (Données à Caractère Personnel) – Comment notre moteur de
classification et nos patterns RGPD permettent de mener cette tâche rapidement, de
manière pragmatique et unique sur de gros volumes de données, on-premise et
online.
Labélisation des données avec l’intégration avec AIP de Microsoft notamment au
travers de notre solution Data Classification Labels
Réduction du profil de risque de manière industrielle et automatique avec
Automation Engine
Mise en place des mesures détection pour se protéger contre les cyber attaques et
les menaces internes avec des Threat Model basés sur du machine learning et ciblés
sur le GDPR
Mise en place de contrôles préventifs dont revues de droits ciblées pour
atteindre le grâle du principe de moindre privilège en le ciblant sur les DCP.
GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou
financier, quels sont les défis liés à la sécurité et à la privacy «
by-design », thème du FIC 2019 ?
Guillaume Garbey : L’une des principales problématiques liées à la « privacy-by-design » lorsque
l’on parle des données et de leur gouvernance réside dans la difficulté à
définir cette confidentialité sur les données non-structurées. Cette difficulté
à deux explications : le poids de l’historique qui est souvent important
(quantité des données, non-maitrise de leur nature, de leur sensibilité, de leur
usage, schémas de permissions ineffectifs, …), ou l’absence de mise en place
d’une gouvernance autour des données au préalable de l’ouverture d’un
service Cloud, tel qu’Office 365 pour prendre un exemple concret.
Le « privacy-by-design » semble également assez antinomique avec la volonté des
entreprises d’une part, et des utilisateurs d’autre part, de disposer de
services collaboratifs offrant des possibilités de partage de l’information avec
souvent la perte de maitrise du niveau de sécurité.
GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?
Guillaume Garbey : Ils sont simples : Sensibilisation, définition d’une gouvernance pour leurs
données, et choix des bons outils.
Sensibiliser les utilisateurs, les partenaires, l’informatique.
Définir une gouvernance – sans gouvernance autour des données il est impossible
de garantir le niveau de sécurité de ces dernières.
Enfin, outiller, c’est à dire mettre en place des capacités de classification
puissantes, de détection avancée, et de réduction du risque de manière
automatique. Le machine learning est un plus afin de réduire le niveau de faux
positifs, de faciliter le travail des analystes, et de détecter les signaux
faibles.
GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en
sont-elles dans leur mise en conformité ?
Guillaume Garbey : Les chantiers juridiques sont engagés ou terminés – constitution du registre de
traitement, revue des mentions, revue des contrats, etc. En revanche nous
distinguons toujours deux grandes problématiques que les entreprises éprouvent
beaucoup de mal à gérer : la gestion des champs libres (éviter le cas de
collecte de données interdites, insultes, religion, etc.) et les BCR (Binding
Corporate Rules) lorsque cela se justifie.
Le volet gestion de risque a été intégré dans les schémas directeurs et des
mesures organisationnelles et techniques sont en cours d’implémentation pour
réduire le risque d’incident de sécurité. Néanmoins le niveau de maturité est
encore hétérogène en fonction des verticaux, de la nature des activités
(B2C/B2B, etc.) et de la taille des sociétés concernées. Le maillon faible reste
encore et souvent les données non structurées sur les serveurs de fichier, le
cloud, etc. ou la sécurité de l’identité (Active Directory), véritable porte
d’entrée vers les données et les applications. Concernant les données, le
challenge est double, il concerne évidemment la sécurité, mais aussi la capacité
à pouvoir répondre à des demandes de droits d’accès / rectification en
intégrant les millions, voire des centaines de millions de fichiers qui contiennent
des données personnelles.
De manière certaine, le RGPD a légitimé des projets sécurité qui avaient été
repoussés pendant de nombreuses années. C’est le cas notamment des projets de
classification, de labellisation, de SOC (Security Operation Center). Nous
constatons également, une remontée en puissance du normatif (ISO27001) sur le
périmètre des données clients, véritable accélérateur de la mise en
conformité RGPD et de garantie de confiance pour les clients, les partenaires et
les fournisseurs.
GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du
côté de l’attaque ou de la défense ?
Guillaume Garbey : Du côté des attaques, la nature ne changera guère, mais c’est leur fréquence
et leur taux de réussite qui augmentera :
o Le phishing reste la technique la plus simple et efficace pour obtenir les
premiers éléments pour exfiltrer des données
o Les attaques renforcées par de l’IA : les cybercriminels pourront par
exemple automatiser le ciblage de leurs victimes potentielles. Ils pourront aussi
permettre aux logiciels malveillants d’identifier la vulnérabilité des réseaux
et le niveau de réactivité des responsables de la cybersécurité.
o Les ransomwares : le plus en plus évolués, ils ciblent désormais uniquement
les données sensibles, dont les données à caractère personnel, qu’elles soient
hébergées dans le Cloud ou sur des serveurs on-premise.
o Menaces Etatiques : la mondialisation des économies, et la compétition
technologique ou économique féroce que se livrent les grandes entreprises voire
les nations fait que l’on verra de plus en plus d’attaques massives sur de
grandes entreprises via l’introduction de vulnérabilités, des employés
malveillants, des campagnes de phishing, etc.
o La démocratisation de la vente sur le darkweb, où il devient de notoriété
publique que les données à caractère personnel comme une carte vitale, un numéro
de carte bancaire, un listing d’email, des mots de passe, peuvent rapporter gros.
Dans un contexte économique compliqué un employé peut être plus facilement
tenté de « vendre » des données personnelles. Ces pratiques il y a quelques
années étaient non seulement marginales mais ne concernaient surtout que la
propriété intellectuelle.
Coté défense, les entreprises se dotent des solutions de sécurité de nouvelle
génération qui intègrent de l’intelligence artificielle, ou plus exactement du
machine learning. Ces solutions ne sont pas miraculeuses mais permettent de
détecter l’indétectable et facilitent d’autant le travail des analystes
sécurité. Concernant la gestion du risque sur les données non structurées, les
entreprises ont compris qu’il était nécessaire d’avoir une approche plateforme
qui intègre l’ensemble des capacités nécessaires à leur protection :
Classification & Labellisation
Collecte des traces sur les entrepôts de données, et l’Active Directory
Télémétrie, détection des cyber attaques
Gestion des permissions, revues d’habilitations
Remédiation & réduction de l’exposition au risque
GS Mag : Quel est votre message à nos lecteurs ?
Guillaume Garbey : La meilleure façon de mettre en place une stratégie de compliance ou de sécurité
de vos données est de connaitre l’état des lieux. Varonis vous propose de
réaliser un Data Risk Assessment gratuit et rapide, pour le définir et vous
permettre de prendre les mesures adaptées.
Articles connexes:
- Alexandre Souillé, Olfeo : la sécurité du SI dépend de la solidité de son maillon le plus faible
- Yann LE BAIL, CEO de BYSTAMP : Nous rendons infalsifiable un document signé
- Guillaume GAMELIN, F-Secure : avec « Rapid Detection and Response Service », le couple Homme -Machine vous apporte une réelle solution clés en main
- Frans Imbert-Vier, CEO d’UBCOM : la Cyber sécurité doit être intégrée dans les stratégies d’affaires des directions opérationnelles
- Nicolas Speciel, UCOPIA : le RGPD conduit les entreprises à mettre en place une stratégie de la sécurité plus holistique
- Renaud GHIA, TIXEO : Il faut revenir à l’essentiel en optant pour des technologies efficaces et reconnues comme le chiffrement de bout-en-bout
- Benoit Grunemwald, ESET : vers une montée en puissance des cyptomineurs en 2019 ?
- Michel Lanaspèze, SOPHOS : plus que jamais, la sécurité n’est pas une option
- Laurent NOE, OVELIANE : Une bonne hygiène des serveurs est indispensable pour éviter la plupart des attaques
- Jacques de La Rivière & Philippe Gillet de Gatewatcher : Il est nécessaire d’anticiper les menaces
- Stéphane Estevez, Splunk : Il est nécessaire de s’équiper de technologies transversales
- Pascal Desmet, Nomios : Les outils aussi automatiques qu’ils soient, doivent être au service d’experts capables de prendre les bonnes décisions
- Jean-Philippe Kalfon, Secret Double Octopus : il faut éliminez les mots de passe des SI pour sécuriser les accès
- Gérôme Billois, Wavestone : 2019 sera une année de transition forte avec les 3 piliers que sont le cloud, l’agile et les API
- François-Xavier Vincent, Oodrive : La Security & Privacy by Design sont des pratiques assez naturelles chez Oodrive
- Christophe Chaubard-Willm, ASSYSTEM - BU Connect : pour limiter les risques il faut élaborer une démarche pragmatique de maitrise
- David Bizeul, CTO de SEKOIA : Nos solutions de sécurité n’hésitent pas à casser les idées reçues et surtout qui sont agréables à utiliser !
- Théodore-Michel Vrangos, I-TRACING : Les RSSI jouent u rôle clé dans les entreprises
- Vincent Meysonnet, Bitdefender : Nous continuons de travailler sur la détection et la protection avancée face à un paysage des menaces en constante évolution
- Christophe da Fonseca, Paessler AG : la détection des événements inhabituels peuvent aider à repérer des activités frauduleuses
- Pascal Le Digol, WatchGuard Technologies : Le déploiement d’outils de sécurité est un gage pour conserver un coup d’avance sur les cyber-malveillants
- Fabien Corrard, Gfi Informatique : la mise en place d’outils de sécurité permet de répondre aux mesures réglementaires
- Emmanuel Gras, ALSID : La prise de conscience de l’importance de la cybersécurité est effective
- David Grout, FireEye : Pour bien se protéger la formation, l’outillage sont clef mais l’intelligence est décisive
- Alexis Nardone, INQUEST, groupe GM Consultant : il faut entamer le chantier de la cybersécurité par des actions pragmatiques et cohérentes
- Didier Cohen, WALLIX : les entreprises doivent penser « Privacy et Security by Design » !
- Franck Mazeau, Panda Security : Un EDR est aujourd’hui indispensable
- Christophe Auberger, Fortinet : le RGPD est une opportunité et un facteur différenciant
- Hervé Rousseau, CEO d’Openminded : le FIC est l’occasion d’échanges fructueux avec l’écosystème de la cybersécurité
- Sophie Tacchi, IBM France : des compétences cyber à la préparation contre les cyberattaques
- Roland Atoui, et Ayman Khalil, Red Alert Labs : Le déploiement des IoT passe par la sécurité
- Michel Gérard, PDG de Conscio Technologies : Faites de vos collaborateurs le maillon fort de votre défense cyber
- Benoît Mangin, AEROHIVE : N’ayez pas peur de passer aux nouveaux usages et aux nouvelles technologies qui le permettent pour améliorer vos business
- Benjamin Leroux, Advens : Security-as-a-service Factory pour industrialiser vos services de Sécurité clé en main
- Bertin IT accélère sur la mise en conformité LPM et NIS en 2019
- Frédéric Braut, Tech Data : Pour déployer une sécurité efficace, il faut savoir adresser le cloud, l’hybridation des infrastructures, la gestion de la donnée ou encore les flux réseaux
- Coralie Héritier, IDNOMIC : Chacun doit œuvrer pour renforcer la confiance numérique
- Sébastien Gest, Vade Secure : Déjouer le piège au premier regard devient un défi pour l’humain…
- Eric Heddeland, Barracuda Networks : De la réponse aux menaces à la sensibilisation
- Raphael Basset ERCOM : Nos solutions de communications et collaboration réconcilient efficacité, sécurité, confidentialité et souveraineté
- Karl Buffin, Skybox Security : Simplifiez la gestion du Cyber Risk
- Marco Rottigni, Qualys : La transformation numérique et les nouvelles réglementations vont changer le rôle et la place du RSSI
- Arnaud Gallut, Ping Identity : Pensez à sécuriser vos API face à la menace croissante de fuite de données
- Christian Pijoulat, LogPoint : Automatiser les processus de sécurité est une nécessité !
- Briag Monnier, Scassi : La sécurité n’est pas une fonctionnalité ou une option, c’est un processus
- Steve Kremer, Inria : La recherche académique a un rôle majeur à jouer pour aller vers un monde plus sûr
- Kristine Kirchner, inWebo : Il n’y a plus de frein à la généralisation du MFA pour l’intégrer très en amont dans les applications
- Antoine Coutant, Systancia : L’anticipation des menaces passe par le contrôle des accès à privilège
- Matthieu Dierick, F5 : Le déploiement de services applicatifs accroît la capacité des entreprises à prospérer
- Benjamin SCHILZ, Acorus Networks : La protection DDoS ne s’improvise pas !
- Fabrice Clerc, C.E.O. de 6cure : La dématérialisation met tout le monde sur un cyber-champ de bataille