Alexis Nardone, INQUEST, groupe GM Consultant : il faut entamer le chantier de la cybersécurité par des actions pragmatiques et cohérentes
janvier 2019 par Marc Jacob
INQUEST, groupe GM Consultant à l’occasion du FIC présentera Weakspot, sa nouvelle solution en ligne capable d’évaluer l’exposition aux risques informatiques d’une entreprise sur Internet à travers l’établissement d’une cartographie des ressources visibles jugées comme points de faiblesse potentiels. Devant l’étendu des menaces qui planent sur la toile, Alexis Nardone, Directeur Associé d’INQUEST, groupe GM Consultant recommande d’entamer le chantier de la cybersécurité par des actions pragmatiques et cohérentes.
Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?
Alexis Nardone : Nous allons présenter, Weakspot, notre nouvelle solution en ligne capable d’évaluer l’exposition aux risques informatiques d’une entreprise sur Internet à travers l’établissement d’une cartographie des ressources visibles jugées comme points de faiblesse potentiels.
La startup du même nom a été créée fin 2018. Elle résulte d’une association entre Laurent Mayet, président de GM Consultant et Aurélien Boit et Manuel Brochand, spécialistes en cybersécurité et créateurs de la solution.
GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?
Alexis Nardone : Pour nous, le principal défi de la sécurité consiste à en faciliter l’accès pour toutes les entreprises. En effet, les entreprises de taille plus modeste ont tendance à croire, à tort, qu’elles ne représentent pas des cibles privilégiées et n’entament pas forcément ce chantier. Ou alors elles n’en n’ont tout simplement pas les moyens. Les actions de sensibilisation commencent à porter leurs fruits, sur les attaques par ransomware notamment, mais la tâche reste immense et les attaquants s’adaptent déjà et exploitent d’autres failles, techniques.
Il faut donc une offre adaptée à leur niveau de maturité.
GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?
Alexis Nardone : Voici nos trois conseils :
1) (Re)prendre la main sur le sujet ! Les organisations ne doivent pas déléguer cette problématique aveuglément. Il est important de comprendre l’empreinte de son système d’information vis-à-vis de l’extérieur pour en maîtriser plus facilement les faiblesses.
2) Prendre conscience qu’une hygiène convenable en cyber sécurité n’implique pas d’engager des frais démesurés. Cela demeure accessible via un ensemble de mesures cohérentes : campagnes de sensibilisations, mises en place d’outils et surtout de démarches structurées pour tester leur pertinence.
3) Se préparer à l’incident de sécurité, qui arrivera. Ne pas croire que cela n’arrive qu’aux autres et être à même de réagir vite lorsque la crise survient afin d’en limiter les impacts.
GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?
Alexis Nardone : Le RGPD a introduit plusieurs changements majeurs pour les entreprises :
– Ces dernières doivent mettre en œuvre des mesures techniques et organisationnelles pour s’assurer que le traitement des données est conforme au RGPD. Assurer la sécurité des locaux et de leurs systèmes d’informations pour éviter que les fichiers soient endommagés ou accessibles par des tiers non autorisés.
– Le consentement préalable de la personne fichée est renforcé
– Renforcement de la sanction financière qui peut atteindre jusque 4 % du chiffre d’affaires annuel de l’exercice précédent. Ex : UBER condamné à 400 000 euros d’amendes en décembre 2018 pour défaut de sécurisation des données clients et chauffeurs.
Pour ce faire, les entreprises doivent recruter un DPO (data protection officer). Ce dernier coopère avec la CNIL dont il est le point de contrôle, informe et conseille le responsable de traitement (employeur ou sous-traitant) sur la protection des données personnelles, s’assure que le RGPD est respecté etc.
Le niveau de maturité des entreprises sur la mise en application est très hétérogène. Il dépendra de la sensibilité de la direction à ce sujet, du secteur d’activités et surtout des potentielles exigences des clients de ces entreprises. Aujourd’hui, toute relation contractuelle envisagée avec de grands groupes implique à minima une démarche concrète de mise en conformité en cours.
GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?
Alexis Nardone : Question difficile. Nous anticipons un nombre encore plus important de cyber attaques opportunistes en 2019. Le professionnalisme des bandes organisées derrière ces attaques est bien plus avancé face à un tissu de petites entreprises qui peine à se sécuriser.
GS Mag : Quel est votre message à nos lecteurs ?
Alexis Nardone : Il ne faut pas voir tout en noir. Eviter les attaques opportunistes est possible et ne nécessite pas des investissements colossaux. Il faut accepter parfois de perdre en souplesse, s’emparer d’un sujet qui a souvent été confié à des prestataires et entamer le chantier par des actions pragmatiques et cohérentes.
Articles connexes:
- Alexandre Souillé, Olfeo : la sécurité du SI dépend de la solidité de son maillon le plus faible
- Yann LE BAIL, CEO de BYSTAMP : Nous rendons infalsifiable un document signé
- Guillaume GAMELIN, F-Secure : avec « Rapid Detection and Response Service », le couple Homme -Machine vous apporte une réelle solution clés en main
- Frans Imbert-Vier, CEO d’UBCOM : la Cyber sécurité doit être intégrée dans les stratégies d’affaires des directions opérationnelles
- Nicolas Speciel, UCOPIA : le RGPD conduit les entreprises à mettre en place une stratégie de la sécurité plus holistique
- Renaud GHIA, TIXEO : Il faut revenir à l’essentiel en optant pour des technologies efficaces et reconnues comme le chiffrement de bout-en-bout
- Benoit Grunemwald, ESET : vers une montée en puissance des cyptomineurs en 2019 ?
- Michel Lanaspèze, SOPHOS : plus que jamais, la sécurité n’est pas une option
- Laurent NOE, OVELIANE : Une bonne hygiène des serveurs est indispensable pour éviter la plupart des attaques
- Jacques de La Rivière & Philippe Gillet de Gatewatcher : Il est nécessaire d’anticiper les menaces
- Stéphane Estevez, Splunk : Il est nécessaire de s’équiper de technologies transversales
- Pascal Desmet, Nomios : Les outils aussi automatiques qu’ils soient, doivent être au service d’experts capables de prendre les bonnes décisions
- Jean-Philippe Kalfon, Secret Double Octopus : il faut éliminez les mots de passe des SI pour sécuriser les accès
- Guillaume Garbey, Varonis : le RGPD a légitimé des projets sécurité qui avaient été repoussés pendant de nombreuses années
- Gérôme Billois, Wavestone : 2019 sera une année de transition forte avec les 3 piliers que sont le cloud, l’agile et les API
- François-Xavier Vincent, Oodrive : La Security & Privacy by Design sont des pratiques assez naturelles chez Oodrive
- Christophe Chaubard-Willm, ASSYSTEM - BU Connect : pour limiter les risques il faut élaborer une démarche pragmatique de maitrise
- David Bizeul, CTO de SEKOIA : Nos solutions de sécurité n’hésitent pas à casser les idées reçues et surtout qui sont agréables à utiliser !
- Théodore-Michel Vrangos, I-TRACING : Les RSSI jouent u rôle clé dans les entreprises
- Vincent Meysonnet, Bitdefender : Nous continuons de travailler sur la détection et la protection avancée face à un paysage des menaces en constante évolution
- Christophe da Fonseca, Paessler AG : la détection des événements inhabituels peuvent aider à repérer des activités frauduleuses
- Pascal Le Digol, WatchGuard Technologies : Le déploiement d’outils de sécurité est un gage pour conserver un coup d’avance sur les cyber-malveillants
- Fabien Corrard, Gfi Informatique : la mise en place d’outils de sécurité permet de répondre aux mesures réglementaires
- Emmanuel Gras, ALSID : La prise de conscience de l’importance de la cybersécurité est effective
- David Grout, FireEye : Pour bien se protéger la formation, l’outillage sont clef mais l’intelligence est décisive
- Didier Cohen, WALLIX : les entreprises doivent penser « Privacy et Security by Design » !
- Franck Mazeau, Panda Security : Un EDR est aujourd’hui indispensable
- Christophe Auberger, Fortinet : le RGPD est une opportunité et un facteur différenciant
- Hervé Rousseau, CEO d’Openminded : le FIC est l’occasion d’échanges fructueux avec l’écosystème de la cybersécurité
- Sophie Tacchi, IBM France : des compétences cyber à la préparation contre les cyberattaques
- Roland Atoui, et Ayman Khalil, Red Alert Labs : Le déploiement des IoT passe par la sécurité
- Michel Gérard, PDG de Conscio Technologies : Faites de vos collaborateurs le maillon fort de votre défense cyber
- Benoît Mangin, AEROHIVE : N’ayez pas peur de passer aux nouveaux usages et aux nouvelles technologies qui le permettent pour améliorer vos business
- Benjamin Leroux, Advens : Security-as-a-service Factory pour industrialiser vos services de Sécurité clé en main
- Bertin IT accélère sur la mise en conformité LPM et NIS en 2019
- Frédéric Braut, Tech Data : Pour déployer une sécurité efficace, il faut savoir adresser le cloud, l’hybridation des infrastructures, la gestion de la donnée ou encore les flux réseaux
- Coralie Héritier, IDNOMIC : Chacun doit œuvrer pour renforcer la confiance numérique
- Sébastien Gest, Vade Secure : Déjouer le piège au premier regard devient un défi pour l’humain…
- Eric Heddeland, Barracuda Networks : De la réponse aux menaces à la sensibilisation
- Raphael Basset ERCOM : Nos solutions de communications et collaboration réconcilient efficacité, sécurité, confidentialité et souveraineté
- Karl Buffin, Skybox Security : Simplifiez la gestion du Cyber Risk
- Marco Rottigni, Qualys : La transformation numérique et les nouvelles réglementations vont changer le rôle et la place du RSSI
- Arnaud Gallut, Ping Identity : Pensez à sécuriser vos API face à la menace croissante de fuite de données
- Christian Pijoulat, LogPoint : Automatiser les processus de sécurité est une nécessité !
- Briag Monnier, Scassi : La sécurité n’est pas une fonctionnalité ou une option, c’est un processus
- Steve Kremer, Inria : La recherche académique a un rôle majeur à jouer pour aller vers un monde plus sûr
- Kristine Kirchner, inWebo : Il n’y a plus de frein à la généralisation du MFA pour l’intégrer très en amont dans les applications
- Antoine Coutant, Systancia : L’anticipation des menaces passe par le contrôle des accès à privilège
- Matthieu Dierick, F5 : Le déploiement de services applicatifs accroît la capacité des entreprises à prospérer
- Benjamin SCHILZ, Acorus Networks : La protection DDoS ne s’improvise pas !
- Fabrice Clerc, C.E.O. de 6cure : La dématérialisation met tout le monde sur un cyber-champ de bataille