Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Arnaud Gallut, Ping Identity : Pensez à sécuriser vos API face à la menace croissante de fuite de données

janvier 2019 par Marc Jacob

Lors du FIC, Ping Identity introduira PingOne for Customer, sa nouvelle solution de Gestion des Identité Client (CIAM) as a Service. Cette nouvelle approche combinant SaaS et onPremise offre une réponse sur les aspects de sécurité et « privacy by design » en combinant la flexibilité d’une réponse SaaS tout en tirant parti d’une architecture onPremise lorsque cela s’avère requis. Devant les problèmes de fuite de données qui s’intensifie Arnaud Gallut, Regional Sales Director South EMEA de Ping Identity recommande sécuriser les API.

Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?

Arnaud Gallut : Nous allons mettre en avant trois sujets :
Tout d’abord Ping Identity introduit PingOne for Customer sa nouvelle solution de Gestion des Identité Client (CIAM) as a Service à l’occasion du FIC 2019, en complément de notre approche on-Premise. Nous servons de nombreux clients avec notre solution CIAM depuis plus de 10 ans sur d’importantes volumétries (note : exemple d’un client Français utilisant Ping Identity pour gérer et sécuriser 6 Millions d’identités de leurs services en ligne).
Dans le cadre de la multiplication des projets digitaux de nos clients, il s’est avéré important pour Ping Identity d’être capable de les accompagner avec une offre 100% SaaS favorisant l’accélération de la mise en place de services d’enrôlement, d’identification et d’authentification forte au sein de portail clients. Dans le cas où l’entreprise nécessite d’interfacer des applications onPremise à son portail client ainsi que différentes sources et référentiels d’identités, l’approche Ping de fournir des moyens Hybrides (modules onPremise interconnectés avec la plateforme SaaS) convient particulièrement.
Cette approche combinant SaaS et onPremise offre une réponse sur les aspects de sécurité et « privacy by design » en combinant la flexibilité d’une réponse SaaS tout en tirant parti d’une architecture onPremise lorsque cela s’avère requis.

Ensuite, depuis le lancement de PingIntelligence for API au mois d’Octobre 2018, permettant de tirer parti de l’intelligence artificielle et du machine learning pour détecter les cyberattaques sur les API et les bloquer, les équipes de R&D ont livrés une nouvelle version 3.2 offrant désormais de manière native l’intégration avec les Gateway API de AXWAY, APIGEE, et préfigurant le support de nombreuses autres passerelles API dans le courant du premier trimestre 2019.

Enfin, la dernière actualité de Ping Identity concerne le programme de modernisation proposé à tout client ayant déployé des moyens d’Authentification Forte durant les 10 dernières années et qui se sent dépassé. Depuis le début 2018, Ping a multiplié par 4 en France le nombre de ses clients ayant remplacé avec Ping une solution historique d’Authentification Forte et/ou nouvellement adopté PingID le MFA de Ping Identity sous PC, MAC, Android et iOS grâce à une approche SaaS. Fort d’une intense dynamique de R&D sur cette solution Ping Identity propose un MFA as a Service, directement interfacé avec Microsoft ADFS et Microsoft Azure AD.

GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?

Arnaud Gallut : Les défis liés à la sécurité et « privacy by design » sont effectivement de multiples natures, plus techniques et humain que psychologiques. L’aspect financier n’est pas nécessairement un défi dès lors que la notion de « by design » est véritablement intégré à l’origine de tout projet et n’impose pas de refondre l’existant. L’adaptation de l’existant -en revanche- lorsqu’il n’a pas été conçu avec la dose requise de « privacy » impose des coûts additionnels qui n’étaient pas anticipés. Pour ce qui est de la question de sécurité à la conception de tout projet, c’est le défi qui reste le plus important, dans un contexte d’une menace toujours plus complexe et qui s’industrialise.

GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?

Arnaud Gallut : Concernant le travail de sécurisation et « privacy by design » de toute évolution du SI à l’ère moderne, nous incitons toute organisation à prendre le temps d’adopter des pratiques de sécurité dans la mise en œuvre d’API car la multiplication de ces interfaces constitue des nouvelles surfaces exposées du SI que les attaquants ciblent de manière croissante et complexe. Ces pratiques de sécurité concernent tant les moyens d’authentification et du contrôle de l’accès à ces API, en tirant parti des protocoles standards (OIDC, OAuth) que de muscler les capacités d’analyse des usages de ces interfaces. A cet effet, l’usage d’un moteur d’Intelligence Artificielle et de Big Data rendra un service particulièrement important.

Concernant le défi financier, nous avons travaillé avec un certain nombre de grandes entreprises ayant lancé leur chantier de modernisation de leurs systèmes d’authentification et de contrôle d’accès. Si la période de transition (de 3 à 15 mois) durant laquelle l’ancien et le nouveau système sont tous deux opérants donne lieu à un cout supplémentaire, l’économie réalisée faisant suite à cette période devient considérable et impacte positivement de nombreuses fonctions IT. Notre conseil est de challenger tout projet réalisé sur ces sujets il y a plus de 6 à 8 ans.

GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?

Arnaud Gallut : Le RGPD a permis une prise de conscience importante de la criticité de manipuler de la donnée à caractère personnel. Selon le secteur d’activité, la Data n’est pas historiquement dans le cœur de l’ADN de l’entreprise. Le RGPD a forcé les entreprises à prendre acte au plus haut niveau de la valeur de la donnée client et des processus qui les entourent. Il ne nous appartient pas de juger la mise en conformité des entreprises, néanmoins des progrès très conséquents ont été réalisés.

GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?

Arnaud Gallut : En 2019 dans la ligne directe des failles de sécurité faisant les gros titres de 2018, il faut s’attendre à toujours plus de failles trouvant leur origine autour des API. Nous sommes au début d’une ère du renforcement de la sécurité à base d’Intelligence Artificielle. L’attaque s’est beaucoup professionnalisée et la défense doit désormais en faire de même.

GS Mag : Quel est votre message à nos lecteurs ?

Arnaud Gallut : Notre message est double :
D’une part : si vous utilisez une technologie d’IAM depuis plus de 5 à 6 ans, il est fort probable qu’elle soit couteuse en ressources, en administration, en frais de maintenance, non standard, difficile à adapter aux nouveaux usages et peu évolutive. Venez nous rencontrer pour comprendre comment l’approche onPremise, SaaS et Hybride de Ping Identity peut résoudre vos problèmes et générer des économies très importantes.

D’autre part, votre entreprise ouvre quotidiennement de nouveaux services avec ses clients, partenaires et fournisseurs en utilisant des API. Pensez à sécuriser vos API face à la menace croissante de fuite de données. Ping Identity peut vous y aider à tous les stades de maturité de vos besoins de sécurité des API. Nos experts sont présents durant le FIC pour partager sur ce sujet.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants