Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sophie Tacchi, IBM France : des compétences cyber à la préparation contre les cyberattaques

janvier 2019 par Marc Jacob

Lors du FIC, IBM présentera certains éléments de son offre de cybersécurité. Sophie Tacchi, Executive Security Advisor Security Tiger Team d’IBM Security présente sa stratégie.

Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?

Sophie Tacchi : Nous allons mettre en avant plusieurs points constitutif de notre offre :

• Compétences Cyber : recrutement et formation dans un contexte de pénurie
• Utilisation du Cognitif dans le domaine Cyber
• Evolution de la menace en s’appuyant sur le dernier rapport X-Force
• Comment valoriser les investissements Cyber vis vis des membres du COMEX
• Investissements d’IBM en France dans le domaine de la Cyber avec un focus sur la création du SOC de Lille
• Comment se préparer à une Cyber-Attaque ?
• La collaboration entre les acteurs de la Cyber-Sécurité est clé pour contrer la Cybercriminalité organisée

GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?

Sophie Tacchi : Le « Privacy by Design » pour les nouveaux projets, nécessite la mise en œuvre d’une organisation « Secure by Design » sur la base de pratiques essentielles à appliquer dès que l’on crée un système, une solution, une application qui utilise et manipule des données personnelles.

Adopter cette approche est obligatoire dans le cadre du RGPD, mais nécessite la mise en œuvre d’un projet en soit, avec une organisation adéquate et la conduite du changement auprès des équipes intervenant dans le cycle de vie de développement.

A l’ère de la transformation digitale, du développement agile et du cloud hybride, qui augmente la surface d’attaque des nouveaux projets, cette approche s’impose.

GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?

Sophie Tacchi :Les organisations disposent d’un processus plus ou moins formalisé sur l’approche « Privacy by Design », mais perfectible dans ce nouveau contexte. Il est recommandé de :

1. Mettre en place les 8 pratiques ci-dessous :
- Sensibiliser et former aux enjeux de la « Privacy et Security » les différents acteurs intervenant dans la chaine de développement pour comprendre les concepts et les applications de la Sécurité dans les développements
- Planifier la sécurité et la « privacy » du projet initial et de ses nouvelles versions pour s’assurer que l’ensemble des bonnes pratiques sont appliquées tout au long du projet.
- Evaluer les risques et modéliser la menace en fonction du métier, de la sensibilité des données traitées. Les Concepteurs et développeurs doivent penser comme des Hackeurs.
- Définir les besoins en sécurité et « privacy » : s’assurer que les points de contrôle adéquats pour gérer les sessions et protéger les données sont bien inclus dans les cas d’usage, les spécifications fonctionnelles ; et définir les plans de tests Sécurité.
- Coder sans vulnérabilités : les développeurs devront s’assurer que le code et les configurations sont appropriés pour protéger les données en fonction de la Politique de Sécurité.
- Tester la sécurité à base de pentests et d’utilisation d’outils de Scan de vulnérabilités pour s’assurer que le chemin d’accès aux données personnelles via le système respecte bien les politiques de sécurité, pour tout ce qui a été développé en interne mais aussi acheté à des tiers (applicatifs et éléments d’infrastructure).
- Documenter la Sécurité du projet : pour permettre aux développeurs de maintenir les exigences sur l’ensemble des versions d’une part, et d’autre part, communiquer aux équipes d’implémentation et d’administration les paramètres de sécurité.
- Répondre aux incidents de sécurité pour prendre en compte les vulnérabilités, les analyser, préparer les correctifs, communiquer et distribuer les patchs.

2. Instrumenter ces pratiques permet aux organisations moyennes et grandes, de gagner en efficacité dans l’application auditable du « Privacy by Design ».
3. Se faire aider dans cette approche en termes de processus, de compétence et d’outillage.

GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?

Sophie Tacchi : Les organisations concernées par le RGPD ont ouvert le chantier avec un degré variable de mise en conformité. La machine est lancée, mais les efforts nécessaires sont importants donc prendront du temps car ils nécessitent une approche structurellement différente de la gestion de protection de la donnée personnelle.
Les organisations ayant notifié à la CNIL une violation de données à caractère personnel, ont mis en place en priorité un processus de Reponse à incidents pour pouvoir collecter les preuves, et monter le dossier dans le 72 heures. En parallèle, en 2018, une grande majorité de consommateurs ont été sensibilisés à cette problématique souvent après la réception d’un courriel les informant de la violation au RGDP, ou connaissent quelqu’un qui l’a été ! La confiance envers les vendeurs de biens et services marchands est en train de changer, elle prend en compte la propension à protéger leurs données personnelles. En espérant que cela soit un facteur d’accélération du processus de mise en conformité.

GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?

Sophie Tacchi : Au niveau des attaques, l’Internet des Objets semble être un domaine où les risques sont les plus importants. Ils sont massivement utilisés dans les entreprises et le grand public, utilisent les nouvelles technologies (objets communicants, clouds, réseaux mobiles, wifi, 5G demain) qui ont peu été conçus « Secure/Privacy by Design ». Les organisations criminelles ont les moyens et les compétences pour améliorer leurs vecteurs d’attaques et déjouer les mécanismes de prévention mis en place pour voler de la donnée ou frauder.

En réponse aux attaques, les organisations renforcent l’approche préventive de gestion de la sécurité pour protéger leur SI éclaté des menaces connues. Les menaces inconnues sont détectées en temps réel grâce à la corrélation des logs, des événements et des flux, l’Intelligence Artificielle, l’analyse comportementale et le Machine Learning. Disposer de tous les éléments de preuve dans les minutes ou heures qui suivent pour qualifier les incidents en provenance de l’interne et l’externe. Et s’organiser pour orchestrer avec efficacité la réponse aux incidents dans le respect des réglementations en vigueur, et démontrer la conformité.

GS Mag : Quel est votre message à nos lecteurs ?

Sophie Tacchi : Venez nous voir sur notre stand et participer à nos ateliers/démos.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants