Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Hervé Rousseau,OPENMINDED : il est possible de faire des choix stratégiques et disruptifs qui vont présenter un rapport “coût/amélioration de la posture sécurité” efficient

septembre 2018 par Marc Jacob

Pour Openminded, les Assises de la Sécurité sont un événement immanquable pour présenter tout son savoir-faire. Cette année cette société s’est réorganisée en 4 Business Units d’expertise : Gouvernance & Identités, Cloud & Infrastructures, Opérations, Sécurité Offensive & Défensive. Hervé Rousseau, Fondateur d’OPENMINDED estime qu’il est aujourd’hui possible de faire des choix stratégiques et disruptifs qui vont présenter un rapport “coût/amélioration de la posture sécurité” particulièrement efficient.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Hervé Rousseau : Pour un pure player indépendant comme Openminded, les Assises sont une occasion immanquable de présenter nos savoirs-faire et de les illustrer par des exemples de missions récentes que nous avons pu conduire dans différents secteurs d’activité. Depuis le début de l’année 2018, nous sommes organisés autour de 4 Business Units d’expertise, qui permettent notamment un alignement clair de notre organisation sur nos spécialités : Gouvernance & Identités, Cloud & Infrastructures, Opérations, Sécurité Offensive & Défensive. Nous sommes donc impatients de pouvoir présenter aux participants des Assises notre capacité d’accompagnement sur ces domaines, ainsi que des réalisations récentes sur nos offres phares comme le SOC, le Sast, la lutte contre le Cybercrime, ou encore d’un point de vue plus fonctionnel le RGPD évidemment. Nous profiterons bien entendu de l’évènement des Assises sur lequel seront présents nombre de nos partenaires (Zscaler, Proofpoint, Logpoint, Crowdstrike, Tufin…) pour présenter la valeur ajoutée que nous nous apportons mutuellement dans la réalisation de projets clients. Enfin, nous présenterons les premières briques de notre offre de formation, qui est en cours de finalisation et que nous rodons en interne, pour le plus grand bonheur de nos consultants et nouveaux arrivants !

GS Mag : Quel sera le thème de votre conférence cette année ?

Hervé Rousseau : Cette année notre Atelier (jeudi 11 octobre à 14h) portera sur la “Stratégie de sécurité opérationnelle du et dans le Cloud : retour d’expérience du RSSI de Rémy Cointreau.” A travers ce témoignage client, nous souhaitons présenter notre capacité à accompagner nos clients sur la sécurité opérationnelle y compris dans des environnements moins maîtrisés/maîtrisables comme le Cloud. Le groupe Rémy Cointreau, accompagné par Openminded, a effectivement opéré un saut technologique avec des solutions innovantes en SaaS, avant d’améliorer la détection et la résilience par la mise en place d’un SOC qui intègre la gestion de ces solutions de sécurité. Cette stratégie disruptive et pragmatique nous semble être un sujet pertinent d’échange lors de l’Atelier, dans un contexte d’évolution des services et des usages dans le Cloud.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2018 ?

Hervé Rousseau : Force est de constater que malheureusement (et nous avons encore eu des exemples récents), rien de neuf sous le soleil… Les principales menaces et l’origine de bon nombre d’incidents de sécurité sont basées sur des techniques connues… pour ne citer que quelques exemples : défauts d’authentifications (trop faibles ou mal configurées), typosquatting DNS, ransomwares qui passe au travers de messageries mal sécurisées font partie du quotidien de bon nombre d’entreprises.
Nous avons aussi pu voir grâce à nos honeypots en 2018 une explosion des cryptominers qui se propagent efficacement sur internet via l’exploitation de vulnérabilités non-patchées (comme avec l’exploitation de Drupalgeddon2 en ce début d’année par exemple). Ces exploitations sont parfois issues de worms qui patchent les serveurs vulnérables après les avoir attaqués, pour éviter des surinfections et augmenter leur rendement en cryptomining, et qui finissent par attaquer d’autres serveurs.
En France, nous avons été aussi extrêmement ciblés par les campagnes du trojan bancaire TinyNuke, ainsi que très récemment par le ransomware PyLocky. Nous pouvons notamment remercier le CERT-SG pour leur travail efficace quant à la traque et la lutte de ces malwares, ainsi que leur partage d’IOC pour pouvoir les détecter rapidement dans les divers SOC que nous gérons.
Enfin, nous observons aussi beaucoup d’incidents suivant le modus operandi “classique” : des attaques commençant par un vol de credentials (phishing ou password stealer) qui permettent à des attaquants de se connecter à des infrastructures hybrides qui ne sont pas sécurisées via du 2FA et/ou qui ne sont pas monitorées par un SOC et qui ne peuvent pas mesurer des “voyages impossibles”.
Lors de réponses à incidents, nous remarquons qu’avec des moyens peu coûteux, et notamment les mises en places de bonnes pratiques de sécurité (whitelisting, 2FA, formations utilisateurs), beaucoup de cas auraient pu être évités.

GS Mag : Quid des besoins des entreprises ?

Hervé Rousseau : Les menaces évoquées ci-dessus ont, pour la plupart, des contre-mesures éprouvées mais elles ne sont pas toujours implémentées correctement dans les entreprises. Nous sommes bien entendu conscients du fait que le budget que représente la somme de ces solutions est souvent supérieur à ce que les RSSI arrivent à négocier à bout de bras. Cela démontre l’importance, selon nous, d’un dispositif de surveillance efficace comme celui que nous proposons avec notre SOC. Au travers de notre solution de Cybersurveillance et les SIEM que nous déployons, nous intégrons aussi bien de de la prévention qu’une réelle capacité de réponse à incident avec une équipe d’analystes et d’investigateurs numériques.
Au-delà des aspects techniques et opérationnels, le sujet de la protection des données est devenu central pour toutes les entreprises. L’évolution des menaces et la communication qui en est faite aujourd’hui, couplée à un contexte réglementaire (LPM, GDPR etc..) qui se renforce et se diffuse dans tous les secteurs d’activité, fait que les entreprises attendent aujourd’hui des réponses pragmatiques et complètes pour protéger leur patrimoine informationnel. Avec les nouveaux usages, la mobilité, le Cloud justement, nos clients ont besoin de piloter leur niveau de sécurité et leur exposition au risque en continu. Il ne s’agit plus seulement de s’équiper pour se protéger, mais d’anticiper les menaces, de prévenir les incidents de sécurité et d’embarquer les collaborateurs dans la prise en compte des risques et la protection des assets de leur entreprise.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Hervé Rousseau : L’offre d’Openminded, qui allie expertise et couverture globale des enjeux de sécurité, est particulièrement bien adaptée à ces attentes. Les entreprises attendent aujourd’hui des partenaires expérimentés et certifiés, qui ont la capacité de les accompagner sur des problématiques fonctionnelles, organisationnelles, humaines, techniques, voire même juridiques et contractuelles pour les aspects liés au Cloud ou au GDPR par exemple. La récente transformation qu’Openminded a opéré début 2018 nous a amené à organiser nos expertises autour de 4 Business Units d’expertise. Nous sommes aujourd’hui plus de 100 collaborateurs entre Paris et Lille, capables de répondre à tous les enjeux de sécurité sous tous les modes de delivery (régie, forfait, Managed Services, expertise ponctuelle etc..), et ce pour tous types d’entreprises dans tous les secteurs d’activité.
Néanmoins, nous sommes confrontés comme une majorité de nos confrères à la pénurie d’experts dont souffre aujourd’hui le marché. Il n’y a que trop peu de formations initiales qui permettent aujourd’hui d’avoir en sortie d’études des profils opérationnels. C’est pour cette raison que notre stratégie va évoluer avec un investissement plus important vers la formation. Nous avons déjà de nombreux consultants qui interviennent en tant que formateurs dans des écoles (nous avons notamment un partenariat fort avec l’ESGI) mais nous souhaitons également proposer une offre de formation plus globale pour nos clients et nos consultants, avec l’objectif de pouvoir aller jusqu’à la reconversion de profils issus de filières alternatives.

GS Mag : Avec l’entrée en vigueur du RGPD, la « security et la privacy by design » deviennent quasi incontournables. Quel sera votre positionnement en ce domaine ?

Hervé Rousseau : Il est vrai que le RGPD, au travers de l’article 25, impose au responsable de traitement de mettre en oeuvre le principe de privacy-by-design afin de garantir le respect des droits et libertés des personnes physiques concernées par un traitement. Il est clairement essentiel de considérer la protection de la vie privée et la sécurité des données dès la conception et ce tout au long du cycle de vie des projets. La vraie question, c’est comment mettre en oeuvre ce principe opérationnellement ?

D’abord en amont du projet, sur le plan de la Gouvernance par la mise en place d’un processus d’intégration de la sécurité et de la vie privée dans les projets, qui associe les équipes projets et les experts du domaine (RSSI, DPO, consultants). Ensuite par la sensibilisation de tous les acteurs sur les enjeux de la protection des données à caractère personnel afin de s’assurer qu’ils rentrent dans le processus d’intégration défini.

En phase de conception projet, nos consultants sont en mesure d’identifier le degré d’applicabilité du RGPD, notamment en validant que des opérations sont réalisées sur des données à caractère personnel, ce qui constitue de fait un traitement qui devra mettre en oeuvre les pratiques de Privacy By Design. Et pour les traitements à risque, ils pourront réaliser une analyse PIA afin d’exprimer les risques et les mesures de protection à mettre en place.

Enfin, sur le volet purement opérationnel, Openminded intervient à plusieurs niveaux dans la mise en oeuvre du Privacy By Design tout au long du cycle de vie du projet : Cartographie précise des données à caractère personnel, Définition d’architectures sécurisées & intégration de solutions, Définition des processus opérationnels de sécurité, Surveillance des systèmes par notre SOC...

GS Mag : Quel est votre message aux RSSI ?

Hervé Rousseau : Comme nous l’évoquions précédemment, les bonnes vieilles recettes fonctionnent malheureusement toujours aussi bien. Typiquement, nous constatons un nombre toujours important d’incidents de sécurité impliquant l’exploitation de vulnérabilités humaines (vol d’identifiants, divulgation involontaire d’informations confidentielles sur le web, fraude au président…) : La question de la sensibilisation à la cybersécurité n’est pourtant pas nouvelle mais force est de constater que l’objectif d’efficacité est loin d’être rempli. Selon nous, il est important de reconsidérer la sensibilisation comme un pilier de la sécurité de l’information et non pas comme une simple mesure de conformité interne ou réglementaire. Nous accompagnons typiquement nos clients sur cette thématique, avec une approche outillée qui combine la contextualisation avec la mesure et l’amélioration.

Au-delà des aspects humains, le RSSI est également confronté en tant que prescripteur à la nécessité de mettre en œuvre un dispositif complet de détection, protection et remédiation qui peut s’avérer complexe et coûteux. Pourtant, même si la démultiplication des solutions de sécurité s’apparente parfois à une jungle dans laquelle il est très difficile de se repérer, il est aujourd’hui possible de faire des choix stratégiques et disruptifs qui vont présenter un rapport “coût/amélioration de la posture sécurité” particulièrement efficient. C’est l’un des thèmes que nous aborderons dans notre atelier des Assises pour lequel nous espérons accueillir un grand nombre de professionnels de la sécurité, qu’ils soient RSSI ou pas !


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants