Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vasco Gomes, Atos : Les équipes sécurité doivent se positionner comme « enabler » de la migration Cloud

janvier 2019 par Marc Jacob

Lors du FIC, Atos présentera sa gamme de solution de sécurité composée d’IAM, de sécurité des applications, de SOC jusqu’à la sécurisation des Smartphones avec Hoox. Vasco Gomes, Global CTO Cybersecurity d’Atos estime que les équipes sécurité doivent apporter une véritable stratégie de transformation et d’adaptation des contrôles de sécurité afin de se positionner comme « enabler » de la migration Cloud – et non pas comme un frein.

Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?

Vasco Gomes : Atos présentera une large gamme de solutions de cybersécurité, et mettra notamment en avant les points suivants :
• La gestion des identités et des accès au sein des organisations avec nos solutions Evidian
• La sécurité des applications et données d’entreprise dans le Cloud
• Les infrastructures de confiance et la sécurité de l’IoT avec les solutions Horus
• La protection des données et les produits de chiffrement Trustway
• Les offres RGPD de bout en bout – conseil, solutions, formation
• Les SOCs pour protéger proactivement les entreprises et combattre les APTs
• Les smartphone Hoox – premier smartphone européen intégralement sécurisé

GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?

Vasco Gomes : Ces défis sont tellement nombreux que je ne peux qu’en ébaucher certains – à commencer par ce que cette approche signifie réellement. A mon sens « sécurité et privacy by design » doivent non seulement être pris en compte au plus tôt, dans la phase de définition de toute nouvelle solution, mais également à chaque étape de sa vie : développement, test, production, déploiement, restructuration – et cela jusqu’à son arrêt et son archivage. L’ensemble des aspects de la solution sont ainsi concernés : techniques, processus, organisationnels, ou encore documentaires – ce qui nécessite de dépasser le gouffre existant entre les processus métiers et l’environnement IT.

• En commençant à appréhender le sujet, on se rend bien compte que le manque de ressources et la rareté des profils spécialisés pourraient très vite poser des limites insurmontables à l’exercice. En effet, la nécessité de maintenir les contrôles et processus existants côté production ne permettent pas de réorienter les profils existants vers les autres phases de manière simple.
• L’intégration de contrôles de sécurité à des cycles de développement très courts, qui ne tolèrent pas facilement les interruptions ou les délais, est également complexe.

Le principal défi lié à la sécurité et à la privacy « by-design » demeure toutefois une question d’état d’esprit. Il est d’usage de dire que la sécurité est l’affaire de tous, et on le constate : la sensibilisation à la sécurité est un échec lorsque le personnel n’a pas le bon état d’esprit. La sécurité c’est essentiellement du bon sens, un souci du détail et un questionnement permanent de l’ensemble des parties prenantes de l’organisation.

GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?

Vasco Gomes : Nos trois conseils :

1. Revoir l’approche de sensibilisation à la sécurité au sein des organisations en l’axant sur la formation et en privilégiant l’implication du personnel. La Sécurité doit devenir un objectif professionnel pour tous les collaborateurs – qui l’intégreront alors naturellement dans leurs processus.

2. La confiance n’excluant pas le contrôle : il faut vérifier et contrôler le niveau de sécurité lors de chacune des phases, et donc construire ses contrôles de sécurité sur le triptyque visibilité-automatisation-orchestration, dans un souci d’amélioration continue. Cela implique de choisir des solutions compatibles, ouvertes, qui pourront interagir entre elles. On devrait ainsi voir l’émergence de solutions de pilotage centralisé de la sécurité, à l’image de ce que les CSPM (Cloud Security Posture Management) peuvent être pour la sécurité du Cloud Hybride. La préparation et l’implémentation de la sécurité vont donc s’automatiser et s’orchestrer, tout comme la détection et la réaction aujourd’hui.

3. Etre pragmatique. Maintenir des dizaines de technologies différentes devient impossible, et protéger continuellement toutes les ressources avec un niveau égal de protection se révèle très coûteux, autant d’un point de vue économique qu’opérationnel pour les organisations. Les équipes sécurité vont devoir sélectionner un partenaire technologique majeur leur permettant de déployer de multiples contrôles de manière cohérente, depuis une plateforme centralisée, et ainsi déployer une base de sécurité unifiée à l’ensemble de leur environnement.

GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?

Vasco Gomes : Les entreprises sont désormais conscientes que le grand public, tout comme leurs clients, sont sensibles à ce qui est fait de leurs données personnelles. Les affaires et scandales touchant à la gestion de données ont non seulement un impact financier, mais également un impact en termes d’image. Ainsi les entreprises ont dû implémenter des changements dans leurs processus, notamment la gestion du consentement et de la relation client, afin de faciliter le traitement des requêtes clients liées à leurs droits.

Par ailleurs, les entreprises ont désormais conscience que le ROI de l’implémentation des solutions de conformité au RGPD est positif, au vu des risques de sanctions financières élevées. Ainsi l’implémentation de solutions de classification, anonymisation, chiffrement et traçabilité des données, ou gestion des droits d’accès deviennent des investissements-clés pour une gouvernance. Le niveau de mise en conformité au RDPD est très variable et dépend de la maturité en cybersécurité des entreprises. Certaines ont réussi à mettre en place les changements opérationnels, technologiques et organisationnels à temps – et sont déjà dans la phase d’amélioration de la gouvernance et automatisation des processus de conformité. En revanche, les entreprises qui n’avaient pas une visibilité exhaustive sur le cycle de vie des données personnelles sont encore dans l’étape de structuration des processus pour s’assurer d’une bonne identification et classification des données.

GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?

Vasco Gomes : J’évoquerais plusieurs points :
- L’ubiquité numérique galopante entraîne celle des mécanismes de défense qui affrontent, de plus en plus, des situations complexes liées au Big Data, avec des volumes massifs d’informations à traiter, en provenance d’interfaces multiples.
- Dans un même temps, nous nous dirigeons vers une plus grande automatisation, et une utilisation accrue de l’intelligence artificielle du côté de l’attaque comme de la défense : on parlera alors de « Battle of the machines ».
- J’évoquerais également les problématiques de convergence IT-OT grandissantes et la croissance exponentielle des attaques cross-platforms qui se propagent dans les environnements IT et industriels.
- Enfin, il est certain que la sécurité du Edge computing sera un sujet-clé.

GS Mag : Quel est votre message à nos lecteurs ?

Vasco Gomes : Une profonde transformation est en marche et la sécurité ne doit pas se contenter de lui emboiter le pas – pour risquer de se trouver en situation de réaction à posteriori, à constater les brèches à colmater. Les équipes sécurité doivent ainsi apporter une véritable stratégie de transformation et d’adaptation des contrôles de sécurité afin de se positionner comme « enabler » de la migration Cloud – et non pas comme un frein.
Cette transformation apporte de nouveaux outils aux équipes sécurité qui, en les embrassant, peuvent régler certains problèmes qui semblaient précédemment difficiles à appréhender. L’infrastructure as a code permet par exemple d’automatiser le déploiement de contrôles de sécurité, et le cycle CICD permet de faciliter la correction de vulnérabilités dans le cycle de développement. Il est également nécessaire de former les équipes sécurité aux technologies qui vont de pair avec le Cloud Public, afin d’y puiser des sources d’inspiration pour une transformation des contrôles et processus de sécurité.




Voir les articles précédents

    

Voir les articles suivants