Alexis Bouchauveau, Skybox Security : les RSSI doivent considérer la cybersécurité comme un levier commercial
septembre 2019 par Marc Jacob
A l’occasion de l’édition 2019 des Assises de la Sécurité, Skybox Security présentra les évolution de sa plateforme Skybox qui est maintenant en version 10 depuis juin. En outre, elle présentera sa suite Skybox Security qui offre de nombre fonctionnalité de gestion des vulnérabilités, des pare-feux, de la conformité… Alexis Bouchauveau, Directeur des Ventes France & Belux de Skybox Security estime que les RSSI ne doivent pas se contenter de s’assurer de la bonne mise en œuvre des fondamentaux, ils doivent considérer la cybersécurité comme un levier commercial !
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Alexis Bouchauveau : Nous restons dans la continuité en faisant évoluer notre plateforme Skybox de manière permanente. Cette année marque une évolution majeure puisque nous avons annoncé la sortie de la version 10 le 11 juin dernier qui apporte les toutes dernières fonctionnalités nécessaires pour parler d’une solution complète de Cyber-risk management.
La suite Skybox Security apporte aux responsables de sécurité les outils nécessaires pour résoudre leurs défis les plus complexes :
• Gestion des vulnérabilités et des menaces
• Gestion des pare-feux et des changements
• Conformité et contrôle en continu
• Visualisation de la surface d’attaque
GS Mag : Quel sera le thème de votre conférence cette année ?
Alexis Bouchauveau : Nous ferons un retour d’expérience de notre client Orange sur le thème de la maitrise et l’automatisation du changement sur les ouvertures de flux.
GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2019 ?
Alexis Bouchauveau : En 2018, 77% des entreprises déclarent détenir au moins une application ou une partie de leur infrastructure IT dans le cloud. Cela souligne l’évolution rapide et profonde qu’ont connu les infrastructures réseaux sur lesquelles les entreprises sont construites. Mais l’adoption du cloud n’est pas le seul facteur responsable d’un tel niveau de complexité du réseau, encore inimaginable il y a à peine dix ans. Avec la mondialisation de l’économie, les entreprises sont devenues mobiles, avec des collaborateurs aux quatre coins du monde, et un recours à la sous-traitance plus important. Le tout numérique a entraîné la multiplication des technologies et des systèmes responsables de la production et de la gestion des données. Dans ce contexte, la complexité est devenue le défi n°1 des RSSI.
La quantité considérable de workloads à gérer ne facilite pas la tâche des RSSI et de leurs équipes de sécurité. Rien qu’au cours du premier semestre 2019, plus de 7000 nouvelles vulnérabilités ont été signalées. Or sans visibilité de l’infrastructure, ni contextualisation, il est presque impossible de définir des stratégies de remédiation efficaces. Cette situation est d’autant plus dangereuse que le recours à des malwares de plus en plus intrusifs est en hausse.
La menace croissante qui pèse sur les environnements OT est également très problématique. La mise à jour à mi-année de notre Vulnerability and Threat Trends Report révèle la publication de 50 nouveaux avertissements émanant de l’ISC-CERT au cours du premier semestre 2019, un chiffre en nette augmentation par rapport à ceux de 2018 à la même époque.
Enfin, le facteur humain reste une menace à la cybersécurité. Le meilleur moyen de remédier à ce risque est d’appliquer le principe de moindre privilège pour restreindre l’accès des utilisateurs et des applications afin que seuls les collaborateurs qui en ont réellement besoin aient accès à une partie du réseau. Cette démarche est essentielle pour atteindre et maintenir un niveau élevé de cyber-hygiène dans l’ensemble de l’entreprise.
GS Mag : Quid des besoins des entreprises ?
Alexis Bouchauveau : Aujourd’hui, l’innovation est la pierre angulaire des entreprises. La transformation digitale a permis aux projets d’innovation de gagner en vitesse, en agilité et en rentabilité. Néanmoins, ceci se fait parfois au détriment de la sécurité, reléguée au second plan.
En matière de cybersécurité, les entreprises doivent s’interroger sur deux choses : « que cherchent-elles à protéger ? » et « le niveau de protection est-il adapté ? ». Répondre à la première question peut s’avérer difficile, notamment à cause de la présence d’infrastructures hybrides, que l’on retrouve dans la plupart des entreprises. Il faut être en mesure de constituer et de maintenir un registre de tous les actifs où se trouvent des données, qu’il s’agisse de propriété intellectuelle, de données personnelles, de documents financiers, d’emails… Ces actifs doivent être catégorisés selon leurs attributs métiers et mis à jour en fonction des évolutions de l’entreprise.
Quant à la seconde question, portant sur l’évaluation du niveau de protection, y répondre est encore plus délicat et nécessite d’avoir des informations sur les actifs, ainsi qu’une compréhension contextualisée de leur relation avec les contrôles de sécurité et les chemins d’accès au réseau. Par exemple, pour comprendre le risque auquel est exposé tout actif contenant des données de carte de crédit de clients, il faut déterminer quels actifs sont rattachés à ces données, leurs vulnérabilités, les menaces qui exploitent ces vulnérabilités et les contrôles de sécurité en place.
L’exposition est une composante critique de la sécurité qu’il est impossible de comprendre sans connaître la relation entre actifs et infrastructure réseau. Elle revêt une importance toute particulière en période de changements, comme les migrations vers le cloud ou les fusions-acquisitions, car les attaquants tendent à profiter de périodes chaotiques pour saisir l’opportunité de lancer une attaque sans se faire remarquer.
GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?
Alexis Bouchauveau : La version 10 de Skybox Security Suite inclut une prise en charge renforcée pour le cloud et l’OT (nos nouvelles intégrations avec Twistlock Collection et Indegy s’ajoutent à nos 130 intégrations existantes) et propose une méthode de notation des risques flexible et complète qui prend en compte un large éventail de facteurs de risques, à la fois internes et externes à l’entreprise. Cette méthode permet aux utilisateurs d’identifier et de prioriser les actifs et les vulnérabilités représentant les plus gros risques au sein de l’entreprise, et d’aboutir ainsi le plus rapidement aux décisions correctives les plus efficaces.
Nous avons également développé nos fonctionnalités d’automatisation, permettant aux programmes de sécurité de réduire les coûts, de surmonter la pénurie de talents et d’améliorer la sécurité grâce à l’automatisation intelligente des processus sur lesquels les équipes de sécurité ne devraient pas perdre de temps. Parmi nos clients, nous comptons de grandes entreprises, aux environnements très complexes, nous avons donc mis au point la solution qui répond à leurs besoins. C’est ainsi que nous avons identifié le besoin de développer des workflows de changement automatisés et intelligents capables d’évaluer les changements de politiques et l’exposition des actifs. En réponse, nous avons automatisé le provisionnement d’un grand nombre de pares-feux. Notre objectif est de simplifier au maximum le maintien, en continu, de la conformité et la réduction des risques.
GS Mag : La sécurité et la privacy « by design » sont devenues incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?
Alexis Bouchauveau : La cybersécurité n’est plus la seule responsabilité des équipes IT, des équipes de sécurité ou des équipes techniques. C’est quelque chose qui doit être ancré à tous les niveaux de l’entreprise. Une erreur courante consiste à traiter la cybersécurité de manière isolée. Comme sa valeur financière n’est souvent reconnue qu’à la suite d’une faille entraînant des pertes, il est relativement facile pour les dirigeants de mettre de côté les priorités liées à la cybersécurité.
Il est évident que ça ne devrait pas être le cas. La cybersécurité est un levier commercial dont il faut tenir compte en amont de toute nouvelle initiative d’entreprise. Et le fait que cela puisse ralentir la mise en place d’une innovation n’est en aucun cas une mauvaise chose. L’un des principaux attraits du cloud, par exemple, est sa vitesse de déploiement, mais si les points d’entrée ne sont pas sécurisés correctement, et si des tests complets de configuration ne sont pas effectués, alors l’entreprise risque de se retrouver exposée à de nouvelles menaces. Les bénéfices attendus de l’innovation pourraient ainsi se retrouver réduits à néant à cause d’une faille de sécurité.
GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?
Alexis Bouchauveau : Faire intervenir l’équipe de sécurité pour éteindre les flammes plutôt que d’utiliser ses ressources de manière proactive pour se protéger contre la possibilité d’une attaque constitue une grave erreur. En intégrant la cybersécurité à l’ensemble des initiatives de l’entreprise et en faisant de la cybersécurité une responsabilité partagée, les entreprises pourront investir dans l’innovation et soutenir leur croissance avec une confiance totale pour leur sécurité.
GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?
Alexis Bouchauveau : Les RSSI méritent une participation au conseil d’administration. La cybersécurité est au cœur de nombreuses pratiques métiers, et cette tendance est vouée à prendre de l’ampleur à mesure que se développeront les nouvelles initiatives (cloud, IoT, etc) au sein de l’entreprise. Les RSSI ne doivent pas se contenter de s’assurer de la bonne mise en œuvre des fondamentaux, ils doivent considérer la cybersécurité comme un levier commercial. Pour ce faire, ils doivent obtenir de la visibilité sur l’ensemble de leur infrastructure hybride, et ce quel que soit son degré de fragmentation.
Contact :
Alexis Bouchauveau, Directeur des Ventes France & Belux
Alexis.Bouchauveau@skyboxsecurity.com / +33 6 13 20 08 85
URL : https://www.skyboxsecurity.com/francais
Articles connexes:
- Christophe Baron, Itrust : Les SOC à base d’IA permettent de renforcer le niveau de sécurité des organisations
- Fabien Miquet, Siemens Digital Industries : Le centre de gravité de la cybersécurité industrielle est à l’intersection des mondes de l’entreprise
- Laurent Cayatte et Nicolas Verdier, Metsys : la meilleure stratégie financière est de favoriser l’investissement dans la cybersécurité en amont des projets
- Ramyan SELVAM, Juniper Networks : SD-WAN, la sécurité doit être prise en compte dès la genèse des projets
- Jacques de La Rivière, Gatewatcher : Le concept de SOAR est un enjeu majeur pour les entreprises
- Marc Behar, CEO d’XMCO : l’anticipation des menaces passe par du pentest et du déploiement d’outils de cyber-surveillance
- Nurfedin Zejnulahi, Trend Micro : les entreprises doivent détecter les menaces pour y réagir rapidement
- Christian Guyon, Forcepoint : la clé de la cybersécurité moderne repose sur la compréhension du comportement
- Patrice Puichaud, SentinelOne : Nous offrons optimisation, visibilité et protection sur les SI pour un petit budget
- Stéphane Dahan, CEO de Securiview : Back to basic !
- Christophe Grangeon, DG d’USERCUBE : Les RSSI ne doivent plus hésiter à faire basculer leurs projets IAM / IAG en mode SaaS
- Philippe Rondel, Check Point Software Technologies : Diminuer la surface de risque est insuffisant, il faut aussi déployer des systèmes de protection
- Bogdan Botezatu, Bitdefender : la cybersécurité est un sport d’équipe avec des règles pour protéger l’entreprise
- Guillaume Masse, Rapid7 : les RSSI doivent développer leur approche de la cybersécurité par les risques pour mieux convaincre les métiers et les directions
- Antoine Coutant, Synétis : Anticiper les menaces, c’est empêcher qu’elles ne se produisent
- Lookout : Les risques mobiles doivent être pris en compte
- Benjamin Leroux, Advens : Concentrez-vous sur les travaux à valeur ajoutée et laissez Advens s’occuper du reste !
- Arnaud Lemaire, F5 : Penchez vous sur l’orchestration de la sécurité
- Xavier Lefaucheux, WALLIX : Nous accompagnons les RSSI dans leur futur numérique sécurisé
- Christophe Auberger, Fortinet : Il faut sortir d’une approche de la sécurité en silo
- Théodore-Michel Vrangos, I-TRACING : Nous sommes présents auprès des RSSI pour leur apporter toute notre expertise
- Pour les Assises, Brainwave met de l’intelligence (artificielle) dans les revues de comptes
- Emmanuel Meriot, Darktrace : Antigena protège le parc numérique jour et nuit, week-end et jours fériés
- Jean-Dominique Quien, inWebo : la sécurisation des accès est un sujet trop sensible pour être confié à des acteurs qui n’y ont pensé qu’après coup
- Pierre-Yves Pophin et Christophe Jourdet, NTT Ltd. France : tous les départements d’une entreprise sont concernés par les risques potentiels liés à la numérisation
- Eric Haddad, Google Cloud : nous mettons notre priorité sur la security-by-design et de privacy-by-design
- Julien Tarnowski, Forescout Technologies : Notre plateforme apporte visibilité et contrôle du réseau
- Eric Dehais, Oppida : la sécurité est l’affaire de tous et ne doit pas seulement reposer sur les épaules d’un RSSI
- Arnaud Pilon, IMS Networks : la protection de la donnée qu’elle soit personnelle ou non est inscrite depuis longtemps dans notre ADN
- William Culbert, BeyondTrust : les solutions d’hier ne sont pas toutes les solutions de demain
- Ghaleb Zekri, VMware : il faut encourager une culture de sensibilisation et de collaboration entre les métiers et les équipes de sécurité
- Christophe Jolly, Vectra : l’automatisation est un des éléments clés pour anticiper les défis du recrutement et de fidélisation des collaborateurs
- Fabien Corrard, Gfi Informatique : Exploitez vos logs pour améliorer votre posture sécurité
- Frédéric Julhes, Airbus CyberSecurity France : les entreprises doivent développer une approche globale de la sécurité
- Philippe Courtot, Qualys : la gratuité contribue à faire évoluer la sécurité dans la société
- Julien Chamonal, Varonis : détecter les accès illégitimes aux données est la clé de voûte de la sécurité
- Hervé Rousseau, Openminded : « Pragmatisme », le maître mot d’une bonne gestion et gouvernance des identités
- Aurélien Debièvre, Citalid Cybersécurité : « Construisons ensemble votre stratégie de gestion du risque cyber ! »
- Nicolas Petroussenko, Okta : connectez les bonnes personnes aux bonnes technologies au bon moment
- Renaud Templier, Devoteam : la transformation numérique nécessite de repenser son approche sécurité
- Paul Bayle, Atos : comment suivre le niveau de sécurité global de son SI ?
- Gérôme Billois, Wavestone : RSSI, profitez de cette prise de conscience pour vous rapprocher du métier
- Arnaud Gallut, Ping Identity : Nous souhaitons offrir l’expérience client la plus simple, fluide et sécurisée possible
- Faycal Mouhieddine, CISCO : la stratégie « Zero Trust » répond aux enjeux du paysage informatique
- Dagobert Levy, Tanium : Il est vital de savoir ce que l’on doit protéger !
- Didier Guyomarc’h, Zscaler Les RSSI doivent mettre en place les processus élémentaires en matière d’hygiène de sécurité et de contrôle d’accès
- Gilles Castéran, Accenture Security France : les entreprises doivent construire une culture de la sécurité pour se protéger collectivement et individuellement
- Alexandre Delcayre, Palo Alto Networks : la priorité des RSSI doit être d’optimiser et d’automatiser les opérations autour de la cybersécurité
- Bernard Debauche, Systancia : des solutions concrètes existent pour permettre de mieux maitriser l’accès de tiers aux ressources IT critiques de leur SI
- Daniel Benabou et Daniel Rezlan IDECSI : les RSSI ne doivent pas avoir peur du changement, ni de responsabiliser l’utilisateur dans leur approche de la cybersécurité
- Alexandre Souillé, Olfeo : Optez pour une solution dédiée telle que le Proxy d’entreprise, c’est la garantie d’une protection optimale contre les cybermenaces !
- Laurent Theringaud, Ercom : la gamme de produits d’Ercom fournit des solutions pour les DSI, validées par les RSSI
- David Grout, FireEye : il est important de pouvoir s’évaluer de manière factuelle, régulière et répétitive pour comprendre et maitriser son risque
- Guillaume Gamelin, F-Secure : La cybersécurité évolue très rapidement mais notre expérience de plus de 30 ans peut faire la différence chez vous !
- Jean-Benoît Nonque, Ivanti : En matière de cybersécurité les entreprises doivent « penser automatisation »
- Jean-Michel Tavernier, MobileIron : la réduction des cyber-risques passe par la sensibilisation et les outils techniques
- Eric Fries, ALLENTIS : « Simplifier la mise en conformité avec la LPM »
- Fabrice Clerc, de 6Cure : la lutte contre les cybermenaces passe par une posture collaborative entre éditeurs
- Fabrice Bérose, Ilex International : Travailler avec Ilex, c’est privilégier une relation individualisée basée sur l’agilité, la réactivité et l’adaptabilité
- Ronan David, EfficientIP : il faut remettre en cause en permanence les solutions établies et les processus
- Jérôme Chagnoux, Oracle France : la meilleure façon de limiter les risques est de ne pas freiner l’adoption des nouvelles technologies
- Coralie Héritier, IDnomic : il faut transcender le seul objectif de protection, et proposer au marché des solutions de cybersécurité véritablement créatrices de valeur ajoutée
- Chardy Ndiki, Contrast Security : il est important de moderniser vos outils de sécurité applicatives
- Ludovic de Carcouët, CEO de DIGITEMIS les dirigeants attendent des RSSI des propositions concrètes et une vision rassurante
- Francois Delepine Venafi : Le défi de la cybersécurité est de taille et nécessite des outils et 3 principes : visibilité, intelligence et automatisation
- Nabil Bousselham, Veracode : Les RSSI doivent adopter une approche proactive en utilisant des outils modernes et de l’automatisation
- Kevin POLIZZI, Jaguar Network : La maîtrise de la sécurité des applications est un enjeu majeur pour toute entreprise
- Joël Mollo, CrowdStrike : Avoir un regard nouveau sur sa sécurité est devenu primordial
- Van Vliet, Digital Guardian : les outils tout en un peuvent simplifier le travail des équipes sécurité
- Bruno Leclerc, Sophos : à chaque entreprise son accompagnement
- Philippe Corneloup, Centrify : il est primordial de mettre en place une sécurité de « Zero trust Privilege »