Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Hervé Rousseau, Openminded : « Pragmatisme », le maître mot d’une bonne gestion et gouvernance des identités

octobre 2019 par Emmanuelle Lamandé

Le virage vers le Cloud et l’agilité est aujourd’hui une évidence pour bon nombre d’entreprises. Toutefois, cette transformation ne peut se faire sans une évolution de leurs approches sécurité, ainsi qu’une bonne gestion et gouvernance des identités. Pour Hervé Rousseau, Président d’Openminded, qui sera présent lors des Assises de la Sécurité, cela nécessite aussi une bonne dose de « Pragmatisme ».

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Hervé Rousseau : Le virage vers le Cloud et l’agilité est aujourd’hui une évidence pour une écrasante majorité des entreprises. La prise en compte de la sécurité dans cette transformation est certes identifiée, mais au-delà du besoin sa couverture est beaucoup moins évidente. En effet, les choix stratégiques qui peuvent être faits sur un « mouvement Cloud » drainent dans leur sillage de nombreuses thématiques que l’on savait couvrir convenablement avec des solutions de sécurité historiques… mais les paradigmes changent et la réponse apportée se doit également d’évoluer. Les infrastructures ne doivent plus être gérées de la même manière, la sécurité ne peut plus retarder la mise en œuvre des projets : pour cela la posture sécurité doit évoluer avec une approche « Cloud Enabler » qui implique une refonte des solutions d’infrastructure, de gestion, de pilotage, de surveillance sécurité, mais également une gestion des identités efficace… c’est notamment cette approche que nous allons présenter, avec également comme chaque année nos dernières actualités, offres et retours d’expérience.

GS Mag : Quel sera le thème de votre conférence cette année ?

Hervé Rousseau : Nous parlerons justement gestion et gouvernance des identités avec un maître mot : Pragmatisme. Pour cela, nous aurons le plaisir d’animer cet atelier avec deux clients qui partageront leurs retours d’expérience sur le sujet. Nous avons, en effet, trop souvent entendu des clients se plaindre de projets de gestion des identités enlisés, voire abandonnés, alors que cette thématique est clairement centrale pour répondre aux nouveaux enjeux d’agilité attendus par les métiers. L’approche que nous défendons avec conviction permet d’obtenir des résultats tangibles et de (re)construire une gestion des identités efficace.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2019 ?

Hervé Rousseau : Notre CERT a eu l’opportunité d’intervenir sur une réponse à incident pour l’un de nos clients impliquant le Malware DNSPIONAGE. Lors de cette investigation, nos analystes ont pu compléter la connaissance autour de ce malware et identifier le vecteur d’infection avec plus de précisions. Sans rentrer dans les détails de ce Malware et de l’attaque, qui sont disponibles sur le site du CERT Openminded et de Cisco Talos avec qui nous avons collaboré, il est intéressant de constater que les cas d’APT ne sont plus « marginaux ». On a pendant plusieurs années raillé (souvent à raison) les communications anxiogènes sur la complexité des menaces et le fait que le terme APT était devenu un terme plus marketing que technique… mais aujourd’hui les dispositifs de défense contre les menaces avancées ne sont clairement plus un luxe. Ils doivent bien entendu s’intégrer dans un dispositif complet de réduction des risques, mais l’évolution de la menace vers une sophistication croissance est nette.

GS Mag : Quid des besoins des entreprises ?

Hervé Rousseau : Qu’il s’agisse de problématiques « fonctionnelles » (gouvernance, gestion des identités, conformité…) ou techniques (Sécurité du et dans le Cloud, protection des infrastructures et terminaux, surveillance sécurité…), les besoins sont selon nous plus nombreux que ce que le marché est aujourd’hui en capacité d’absorber. Nous constatons une demande croissante pour des profils capables d’aider les entreprises à porter les thématiques sécurité dans le cadre des transformations d’entreprise, avec tous les sous-jacents que cela implique. Pour ce qui nous concerne, nous les adressons aussi bien en délégation qu’au travers de prestations en mode forfait ou en centre de services, mais l’enjeu de la capacité est un challenge du quotidien.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Hervé Rousseau : Comme beaucoup de spécialistes de la cybersécurité, nous souffrons du manque de compétences disponibles sur le marché. Nous formons tout au long de l’année nos ressources, contribuons fortement au développement des compétences par l’apprentissage au sein de nos services, mais c’est malheureusement insuffisant pour répondre à l’intégralité des besoins de nos clients. Certaines technologies ou disciplines sont aujourd’hui en souffrance partout comme la sécurité du Cloud, en raison de la complexité du sujet couplée à une offre de formation limitée et des retours d’expérience encore trop peu nombreux… Nous souhaitons ainsi renforcer encore le développement des compétences au sein d’Openminded et au-delà, et allons investir fortement sur cette thématique dans les années à venir pour être capables d’adresser avec une capacité plus importante les enjeux actuels de la cybersécurité.

GS Mag : La sécurité et la privacy « by design » sont devenues incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?

Hervé Rousseau : C’est en effet un concept que le marché a adopté depuis de très nombreuses années, mais qui a parfois du mal à s’imposer dans la complexité des organisations des entreprises. En effet, comme le disait une RSSI avec qui j’échangeais il y a quelques mois, c’est souvent beaucoup plus souvent facile à dire qu’à faire et à mettre en œuvre ! Tout le monde est convaincu, encore faut-il s’insérer habillement dans la transformation de l’entreprise pour arriver à l’adresser efficacement et durablement. C’est pour cette raison que nous proposons d’accompagner nos clients (RSSI, CTO…) autant sur le fond (la réponse technique) que sur l’approche à adopter. Pour prendre un exemple, notre offre de sécurité applicative a comme pilier la sécurité des développements : à quoi bon commanditer un test d’intrusion qui sera le « couperet » pour savoir si l’application est autorisée à entrer en production si aucune sécurité des développements complétée d’une bonne gestion des vulnérabilités n’a été mise en œuvre en amont ? Données chiffrées et retours d’expérience à l’appui, nous partageons avec nos clients la matière pour justifier du retour sur investissement de l’approche de sécurité & privacy by design, et ce sur l’ensemble de nos offres.

GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?

Hervé Rousseau : La plupart des professionnels du métier le savent bien : ils doivent convaincre jusqu’au plus haut niveau de leurs organisations. Qu’il s’agisse de la sécurité « by design » ou de la limitation des risques, ils ne peuvent pas être les seuls acteurs du changement. Ils ont pour une grande majorité une bonne connaissance des risques et doivent maintenant faire en sorte qu’ils soient compris par l’ensemble des parties prenantes et que toute l’entreprise soit engagée dans leur limitation. Ils doivent également obtenir l’adhésion de l’exécutif afin d’avoir les moyens d’accomplir leur mission. Pour cela, ils doivent pouvoir attendre de leurs partenaires qu’ils les accompagnent dans la valorisation des enjeux, en capitalisant par exemple sur des retours d’expérience comme nous le faisons chez Openminded.

GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?

Hervé Rousseau : Les Assises de la sécurité ont su s’imposer comme un rendez-vous incontournable pour échanger avec ses pairs, ainsi qu’avec de potentiels partenaires : c’est un atout formidable que la plupart mettent à profit intensément pendant ces trois jours. Mais au-delà de l’émotion du moment, il arrive un peu trop souvent que le soufflet retombe et que la volonté de construction se fasse absorber par le quotidien et l’opérationnel. Comme le font de plus en plus de RSSI aguerris, choisissez vos batailles et venez partager vos succès l’année prochaine !


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants