Hervé Rousseau,OPENMINDED : il est possible de faire des choix stratégiques et disruptifs qui vont présenter un rapport “coût/amélioration de la posture sécurité” efficient
septembre 2018 par Marc Jacob
Pour Openminded, les Assises de la Sécurité sont un événement immanquable pour présenter tout son savoir-faire. Cette année cette société s’est réorganisée en 4 Business Units d’expertise : Gouvernance & Identités, Cloud & Infrastructures, Opérations, Sécurité Offensive & Défensive. Hervé Rousseau, Fondateur d’OPENMINDED estime qu’il est aujourd’hui possible de faire des choix stratégiques et disruptifs qui vont présenter un rapport “coût/amélioration de la posture sécurité” particulièrement efficient.
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Hervé Rousseau : Pour un pure player indépendant comme Openminded, les Assises sont une occasion immanquable de présenter nos savoirs-faire et de les illustrer par des exemples de missions récentes que nous avons pu conduire dans différents secteurs d’activité. Depuis le début de l’année 2018, nous sommes organisés autour de 4 Business Units d’expertise, qui permettent notamment un alignement clair de notre organisation sur nos spécialités : Gouvernance & Identités, Cloud & Infrastructures, Opérations, Sécurité Offensive & Défensive. Nous sommes donc impatients de pouvoir présenter aux participants des Assises notre capacité d’accompagnement sur ces domaines, ainsi que des réalisations récentes sur nos offres phares comme le SOC, le Sast, la lutte contre le Cybercrime, ou encore d’un point de vue plus fonctionnel le RGPD évidemment. Nous profiterons bien entendu de l’évènement des Assises sur lequel seront présents nombre de nos partenaires (Zscaler, Proofpoint, Logpoint, Crowdstrike, Tufin…) pour présenter la valeur ajoutée que nous nous apportons mutuellement dans la réalisation de projets clients. Enfin, nous présenterons les premières briques de notre offre de formation, qui est en cours de finalisation et que nous rodons en interne, pour le plus grand bonheur de nos consultants et nouveaux arrivants !
GS Mag : Quel sera le thème de votre conférence cette année ?
Hervé Rousseau : Cette année notre Atelier (jeudi 11 octobre à 14h) portera sur la “Stratégie de sécurité opérationnelle du et dans le Cloud : retour d’expérience du RSSI de Rémy Cointreau.” A travers ce témoignage client, nous souhaitons présenter notre capacité à accompagner nos clients sur la sécurité opérationnelle y compris dans des environnements moins maîtrisés/maîtrisables comme le Cloud. Le groupe Rémy Cointreau, accompagné par Openminded, a effectivement opéré un saut technologique avec des solutions innovantes en SaaS, avant d’améliorer la détection et la résilience par la mise en place d’un SOC qui intègre la gestion de ces solutions de sécurité. Cette stratégie disruptive et pragmatique nous semble être un sujet pertinent d’échange lors de l’Atelier, dans un contexte d’évolution des services et des usages dans le Cloud.
GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2018 ?
Hervé Rousseau : Force est de constater que malheureusement (et nous avons encore eu des exemples récents), rien de neuf sous le soleil… Les principales menaces et l’origine de bon nombre d’incidents de sécurité sont basées sur des techniques connues… pour ne citer que quelques exemples : défauts d’authentifications (trop faibles ou mal configurées), typosquatting DNS, ransomwares qui passe au travers de messageries mal sécurisées font partie du quotidien de bon nombre d’entreprises.
Nous avons aussi pu voir grâce à nos honeypots en 2018 une explosion des cryptominers qui se propagent efficacement sur internet via l’exploitation de vulnérabilités non-patchées (comme avec l’exploitation de Drupalgeddon2 en ce début d’année par exemple). Ces exploitations sont parfois issues de worms qui patchent les serveurs vulnérables après les avoir attaqués, pour éviter des surinfections et augmenter leur rendement en cryptomining, et qui finissent par attaquer d’autres serveurs.
En France, nous avons été aussi extrêmement ciblés par les campagnes du trojan bancaire TinyNuke, ainsi que très récemment par le ransomware PyLocky. Nous pouvons notamment remercier le CERT-SG pour leur travail efficace quant à la traque et la lutte de ces malwares, ainsi que leur partage d’IOC pour pouvoir les détecter rapidement dans les divers SOC que nous gérons.
Enfin, nous observons aussi beaucoup d’incidents suivant le modus operandi “classique” : des attaques commençant par un vol de credentials (phishing ou password stealer) qui permettent à des attaquants de se connecter à des infrastructures hybrides qui ne sont pas sécurisées via du 2FA et/ou qui ne sont pas monitorées par un SOC et qui ne peuvent pas mesurer des “voyages impossibles”.
Lors de réponses à incidents, nous remarquons qu’avec des moyens peu coûteux, et notamment les mises en places de bonnes pratiques de sécurité (whitelisting, 2FA, formations utilisateurs), beaucoup de cas auraient pu être évités.
GS Mag : Quid des besoins des entreprises ?
Hervé Rousseau : Les menaces évoquées ci-dessus ont, pour la plupart, des contre-mesures éprouvées mais elles ne sont pas toujours implémentées correctement dans les entreprises. Nous sommes bien entendu conscients du fait que le budget que représente la somme de ces solutions est souvent supérieur à ce que les RSSI arrivent à négocier à bout de bras. Cela démontre l’importance, selon nous, d’un dispositif de surveillance efficace comme celui que nous proposons avec notre SOC. Au travers de notre solution de Cybersurveillance et les SIEM que nous déployons, nous intégrons aussi bien de de la prévention qu’une réelle capacité de réponse à incident avec une équipe d’analystes et d’investigateurs numériques.
Au-delà des aspects techniques et opérationnels, le sujet de la protection des données est devenu central pour toutes les entreprises. L’évolution des menaces et la communication qui en est faite aujourd’hui, couplée à un contexte réglementaire (LPM, GDPR etc..) qui se renforce et se diffuse dans tous les secteurs d’activité, fait que les entreprises attendent aujourd’hui des réponses pragmatiques et complètes pour protéger leur patrimoine informationnel. Avec les nouveaux usages, la mobilité, le Cloud justement, nos clients ont besoin de piloter leur niveau de sécurité et leur exposition au risque en continu. Il ne s’agit plus seulement de s’équiper pour se protéger, mais d’anticiper les menaces, de prévenir les incidents de sécurité et d’embarquer les collaborateurs dans la prise en compte des risques et la protection des assets de leur entreprise.
GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?
Hervé Rousseau : L’offre d’Openminded, qui allie expertise et couverture globale des enjeux de sécurité, est particulièrement bien adaptée à ces attentes. Les entreprises attendent aujourd’hui des partenaires expérimentés et certifiés, qui ont la capacité de les accompagner sur des problématiques fonctionnelles, organisationnelles, humaines, techniques, voire même juridiques et contractuelles pour les aspects liés au Cloud ou au GDPR par exemple. La récente transformation qu’Openminded a opéré début 2018 nous a amené à organiser nos expertises autour de 4 Business Units d’expertise. Nous sommes aujourd’hui plus de 100 collaborateurs entre Paris et Lille, capables de répondre à tous les enjeux de sécurité sous tous les modes de delivery (régie, forfait, Managed Services, expertise ponctuelle etc..), et ce pour tous types d’entreprises dans tous les secteurs d’activité.
Néanmoins, nous sommes confrontés comme une majorité de nos confrères à la pénurie d’experts dont souffre aujourd’hui le marché. Il n’y a que trop peu de formations initiales qui permettent aujourd’hui d’avoir en sortie d’études des profils opérationnels. C’est pour cette raison que notre stratégie va évoluer avec un investissement plus important vers la formation. Nous avons déjà de nombreux consultants qui interviennent en tant que formateurs dans des écoles (nous avons notamment un partenariat fort avec l’ESGI) mais nous souhaitons également proposer une offre de formation plus globale pour nos clients et nos consultants, avec l’objectif de pouvoir aller jusqu’à la reconversion de profils issus de filières alternatives.
GS Mag : Avec l’entrée en vigueur du RGPD, la « security et la privacy by design » deviennent quasi incontournables. Quel sera votre positionnement en ce domaine ?
Hervé Rousseau : Il est vrai que le RGPD, au travers de l’article 25, impose au responsable de traitement de mettre en oeuvre le principe de privacy-by-design afin de garantir le respect des droits et libertés des personnes physiques concernées par un traitement. Il est clairement essentiel de considérer la protection de la vie privée et la sécurité des données dès la conception et ce tout au long du cycle de vie des projets. La vraie question, c’est comment mettre en oeuvre ce principe opérationnellement ?
D’abord en amont du projet, sur le plan de la Gouvernance par la mise en place d’un processus d’intégration de la sécurité et de la vie privée dans les projets, qui associe les équipes projets et les experts du domaine (RSSI, DPO, consultants). Ensuite par la sensibilisation de tous les acteurs sur les enjeux de la protection des données à caractère personnel afin de s’assurer qu’ils rentrent dans le processus d’intégration défini.
En phase de conception projet, nos consultants sont en mesure d’identifier le degré d’applicabilité du RGPD, notamment en validant que des opérations sont réalisées sur des données à caractère personnel, ce qui constitue de fait un traitement qui devra mettre en oeuvre les pratiques de Privacy By Design. Et pour les traitements à risque, ils pourront réaliser une analyse PIA afin d’exprimer les risques et les mesures de protection à mettre en place.
Enfin, sur le volet purement opérationnel, Openminded intervient à plusieurs niveaux dans la mise en oeuvre du Privacy By Design tout au long du cycle de vie du projet : Cartographie précise des données à caractère personnel, Définition d’architectures sécurisées & intégration de solutions, Définition des processus opérationnels de sécurité, Surveillance des systèmes par notre SOC...
GS Mag : Quel est votre message aux RSSI ?
Hervé Rousseau : Comme nous l’évoquions précédemment, les bonnes vieilles recettes fonctionnent malheureusement toujours aussi bien. Typiquement, nous constatons un nombre toujours important d’incidents de sécurité impliquant l’exploitation de vulnérabilités humaines (vol d’identifiants, divulgation involontaire d’informations confidentielles sur le web, fraude au président…) : La question de la sensibilisation à la cybersécurité n’est pourtant pas nouvelle mais force est de constater que l’objectif d’efficacité est loin d’être rempli. Selon nous, il est important de reconsidérer la sensibilisation comme un pilier de la sécurité de l’information et non pas comme une simple mesure de conformité interne ou réglementaire. Nous accompagnons typiquement nos clients sur cette thématique, avec une approche outillée qui combine la contextualisation avec la mesure et l’amélioration.
Au-delà des aspects humains, le RSSI est également confronté en tant que prescripteur à la nécessité de mettre en œuvre un dispositif complet de détection, protection et remédiation qui peut s’avérer complexe et coûteux. Pourtant, même si la démultiplication des solutions de sécurité s’apparente parfois à une jungle dans laquelle il est très difficile de se repérer, il est aujourd’hui possible de faire des choix stratégiques et disruptifs qui vont présenter un rapport “coût/amélioration de la posture sécurité” particulièrement efficient. C’est l’un des thèmes que nous aborderons dans notre atelier des Assises pour lequel nous espérons accueillir un grand nombre de professionnels de la sécurité, qu’ils soient RSSI ou pas !
Articles connexes:
- Stephan Ichac, 3M France : Les filtres de confidentialité, pour aller jusqu’au bout de la démarche RGPD
- Jacques de La Rivière, Gatewatcher : Pour mieux parer les attaques, il faut raisonner comme un Hacker !
- Vincent Meysonnet, Bitdefender : Le chiffrement des disques et la gestion des correctifs pour réduire la surface d’attaque
- Arnaud Cassagne, Newlode : La sécurité manuelle doit laisser place à la sécurité automatisée…
- Guillaume Gamelin, F-Secure France : en matière de cybersécurité, pensez services managés !
- Xavier Lefaucheux, WALLIX : Avec WALLIX, optez pour la cybersécurité simplifiée !
- Moncef Zid, NETSCOUT Arbor : La protection contre le DDoS doit devenir un sujet prioritaire pour les RSSI
- Ramyan Selvam, Juniper Networks : l’automatisation de la sécurité est un enjeu stratégique pour les entreprises
- Chardy N’DIKI, Centrify : « Zéro Trust » sécurise les accès business et les accès à hauts privilèges en tenant des différents contextes d’usage
- Laurent Lecroq, Forcepoint : Les solutions techniques ne sont plus suffisantes
- Pierre Calais, Qualys : Notre objectif est de fournir des outils proactifs pour renforcer les défenses avant l’attaque
- Sébastien Faivre, Brainwave : Nos solutions ont pour objectif d’aider les RSSI à y voir plus clair
- Coralie HERITIER, IDNOMIC : l’identité numérique agit comme un véritable catalyseur d’innovation
- Michael Vaeth, ForgeRock : les RSSI doivent avoir conscience de la nécessité de tenir compte des nouvelles normes de confidentialité et de consentement
- Stéphane Dahan, CEO de Securiview : Anticipez l’inattendu !
- Kevin POLIZZI, Jaguar Network : le cloud et la virtualisation sont en train de révolutionner les technologies de sécurité
- Fabien Corrard, Gfi Informatique : l’analyse de logs doit être laissée à des experts SIEM outillés !
- Edouard de Rémur, OODRIVE : les RSSI doivent valider le critère de sécurité des outils utilisés pour préserver les informations d’importance vitale ou stratégiques
- Eric Guillotin, Imperva : il est primordial d’évaluer les risques, détecter les menaces, prévenir et neutraliser les attaques
- Marie-Benoîte Chesnais, CA Technologies : la sécurité doit se fondre dans le décor !
- Jean-Nicolas Piotrowski, ITrust : n’attendez plus pour contrer les tentatives d’intrusion !
- Alexandre Souillé, Président d’Olfeo : Notre concept de sécurité positive permet de générer un environnement de confiance sur Internet
- Karim Bouamrane, Bitglass : Avec les CASB, les entreprises disposent d’une solution de choix pour protéger leurs données dans le Cloud
- Laurence Cozlin, NETSKOPE : Mieux vaut sécuriser les applications que de bloquer leurs accès
- Didier Guyomarc’h, ZSCALER : Du fait de ses mises à jours régulières, le Cloud vous protège contre les logiciels malveillants
- Matthieu Dierick, F5 : Rendez la sécurité de vos infrastructures plus agile, grâce à l’automatisation et l’orchestration
- Laurent Hausermann, SENTRYO : Les RSSI et les Responsables Sécurité doivent collaborer avec le monde industriel
- Jean-Christophe Mathieu, Siemens SAS : le facteur humain, clé de voûte de la sécurité des systèmes industriels
- Xavier Rousseau, Ixia : Les entreprises de déchiffrer le trafic et de tester leurs infrastructures
- Raphael Basset, ERCOM : Nos solutions de communications et de collaboration réconcilient efficacité, sécurité, confidentialité et souveraineté
- Ali Neil, Verizon : la sécurité devrait être une tâche courante et non pas une tâche effectuée une fois par an
- Jeremy Grinbaum, Box : Nous aidons les entreprises à prendre le contrôle de vos données tout en restant conforme aux législations en vigueur
- Laurent Marechal, McAfee : face à l’avènement du Cloud il faut maintenir les niveaux d’exigences existants en termes de sécurité et de conformité
- François Baraër, Cylance : l’Intelligence Artificielle est une révolution pour la cybersécurité !
- Cyrille Badeau, ThreatQuotient : L’efficacité de votre défense passe par l’amélioration de la collaboration entre services et par la capitalisation sur le renseignement
- Théodore-Michel Vrangos, I-TRACING : le RSSI doit s’adapter en amont à la stratégie de l’entreprise et lui apporter ses expertises
- Frédéric Bénichou : il est urgent de passer à des solutions de nouvelles générations pour protéger le poste de travail
- Fabrice Clerc, 6CURE : les entreprises prennent peu à peu conscience de la menace engendrée par les DDoS
- Emmanuel Jacque, SAS : Innover plus vite que les fraudeurs ou les cybercriminels
- Ghaleb Zekri, VMware : La virtualisation permet de mieux sécuriser vos applications
- Daniel Bénabou et Daniel Rezlan, IDECSI : Notre ADN est depuis notre création centré sur l’apport de solutions pensées pour les équipes sécurité
- Alexandre Delcayre, Palo Alto Networks : Il faut optimiser et automatiser les opérations autour de la cybersécurité
- Julien Tarnowski, ForeScout Technologies : La sécurité de votre réseau local et sites distants passe avant tout par la visibilité de tous les devices
- Christian Pijoulat, Logpoint : Notre SIEM offre une vision claire des dépenses grâce à sa tarification à l’IP
- Lucie Loos, Nameshield : Nous souhaitons accompagner et conseiller les RSSI et DSI dans la mise en place de leur stratégie de sécurité .
- Michel Lanaspèze, SOPHOS : Les RSSI et les Responsables Sécurité doivent collaborer avec le monde industriel
- Karl Buffin, Skybox Security : vers une vision proactive et totale de la surface d’attaque
- Laurent Cayatte, Metsys : « Security Excellence Center », le service de sécurité managé de Metsys
- Alain Dubas, CISCO : devant la recrudescence des attaques, les RSSI et DSI doivent s’équiper de solutions intégrées et réactives
- Emmanuel Gras, Alsid : les infrastructures Active Directory sont le point névralgique de vos systèmes d’information
- Sébastien Gest, Vade Secure : le phishing représente un véritable fléau pour les entreprises
- Thierry Brengard, CenturyLink : il est plus facile d’agir lorsqu’on connait les risques
- Didier Wylomanski, Gemalto : protection et contrôle des données, quelle stratégie adopter ?
- Arnaud Gallut, Ping Identity : ne négligez pas la sécurité de vos API !
- Bastien Bobe, Lookout : le mobile apparaît dorénavant comme le maillon faible de la chaîne
- Hervé Liotaud, SailPoint : la gouvernance des identités permet de lutter contre les menaces tout en respectant les obligations réglementaires de conformité
- Bernard Montel, RSA : le tryptique « Logs, réseau, poste » est crucial
- Vincent Merlin, Proofpoint : l’humain doit être le point central de toute politique de sécurité
- Gaël Kergot, ServiceNow : De la réponse à incidents de sécurité au suivi de la conformité et des risques
- Matthieu Bonenfant, Stormshield : Nous défendons une vision résolument Européenne avec à la fois plus de protection et de transparence
- Julien Cassignol, One Identity : En matière d’IAM les RSSI doivent pratiquer la politique des petits pas
- Erwan Jouan et Nicolas Liard, Tufin : la culture DevOps a fait évoluer le modèle de la cybersécurité
- Cyrille Barthélémy, PDG d’Intrinsec : du SOC à la Cyber Threat Intelligence
- Rémi Fournier et Eric Derouet, Synetis : Nous souhaitons aider les RSSI dans la maîtrise des risques liés au numérique
- Grégory Cardiet, Vectra : l’IA peut créer de plus en plus de valeur pour les RSSI et leurs organisations
- Gérôme Billois, Wavestone : RSSI, positionnez-vous aussi comme le responsable de la sécurité des données de vos clients !
- David Grout, FireEye : La sécurité doit se baser sur l’étude du risque métier et la connaissance des attaquants et de leurs techniques
- Jan Van Vliet, Digital Guardian : placez vos données au centre de votre sécurité
- Mathieu Rigotto, IMS Networks : Connaitre sa surface d’attaque pour réduire les risques
- Antoine Coutant, Systancia : il est essentiel de pouvoir détecter une attaque externe ou interne pour être en capacité de réagir