Arnaud Gallut, Ping Identity : Pensez à sécuriser vos API face à la menace croissante de fuite de données
janvier 2019 par Marc Jacob
Lors du FIC, Ping Identity introduira PingOne for Customer, sa nouvelle solution de Gestion des Identité Client (CIAM) as a Service. Cette nouvelle approche combinant SaaS et onPremise offre une réponse sur les aspects de sécurité et « privacy by design » en combinant la flexibilité d’une réponse SaaS tout en tirant parti d’une architecture onPremise lorsque cela s’avère requis. Devant les problèmes de fuite de données qui s’intensifie Arnaud Gallut, Regional Sales Director South EMEA de Ping Identity recommande sécuriser les API.
Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?
Arnaud Gallut : Nous allons mettre en avant trois sujets :
Tout d’abord Ping Identity introduit PingOne for Customer sa nouvelle solution de Gestion des Identité Client (CIAM) as a Service à l’occasion du FIC 2019, en complément de notre approche on-Premise. Nous servons de nombreux clients avec notre solution CIAM depuis plus de 10 ans sur d’importantes volumétries (note : exemple d’un client Français utilisant Ping Identity pour gérer et sécuriser 6 Millions d’identités de leurs services en ligne).
Dans le cadre de la multiplication des projets digitaux de nos clients, il s’est avéré important pour Ping Identity d’être capable de les accompagner avec une offre 100% SaaS favorisant l’accélération de la mise en place de services d’enrôlement, d’identification et d’authentification forte au sein de portail clients. Dans le cas où l’entreprise nécessite d’interfacer des applications onPremise à son portail client ainsi que différentes sources et référentiels d’identités, l’approche Ping de fournir des moyens Hybrides (modules onPremise interconnectés avec la plateforme SaaS) convient particulièrement.
Cette approche combinant SaaS et onPremise offre une réponse sur les aspects de sécurité et « privacy by design » en combinant la flexibilité d’une réponse SaaS tout en tirant parti d’une architecture onPremise lorsque cela s’avère requis.
Ensuite, depuis le lancement de PingIntelligence for API au mois d’Octobre 2018, permettant de tirer parti de l’intelligence artificielle et du machine learning pour détecter les cyberattaques sur les API et les bloquer, les équipes de R&D ont livrés une nouvelle version 3.2 offrant désormais de manière native l’intégration avec les Gateway API de AXWAY, APIGEE, et préfigurant le support de nombreuses autres passerelles API dans le courant du premier trimestre 2019.
Enfin, la dernière actualité de Ping Identity concerne le programme de modernisation proposé à tout client ayant déployé des moyens d’Authentification Forte durant les 10 dernières années et qui se sent dépassé. Depuis le début 2018, Ping a multiplié par 4 en France le nombre de ses clients ayant remplacé avec Ping une solution historique d’Authentification Forte et/ou nouvellement adopté PingID le MFA de Ping Identity sous PC, MAC, Android et iOS grâce à une approche SaaS. Fort d’une intense dynamique de R&D sur cette solution Ping Identity propose un MFA as a Service, directement interfacé avec Microsoft ADFS et Microsoft Azure AD.
GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?
Arnaud Gallut : Les défis liés à la sécurité et « privacy by design » sont effectivement de multiples natures, plus techniques et humain que psychologiques. L’aspect financier n’est pas nécessairement un défi dès lors que la notion de « by design » est véritablement intégré à l’origine de tout projet et n’impose pas de refondre l’existant. L’adaptation de l’existant -en revanche- lorsqu’il n’a pas été conçu avec la dose requise de « privacy » impose des coûts additionnels qui n’étaient pas anticipés. Pour ce qui est de la question de sécurité à la conception de tout projet, c’est le défi qui reste le plus important, dans un contexte d’une menace toujours plus complexe et qui s’industrialise.
GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?
Arnaud Gallut : Concernant le travail de sécurisation et « privacy by design » de toute évolution du SI à l’ère moderne, nous incitons toute organisation à prendre le temps d’adopter des pratiques de sécurité dans la mise en œuvre d’API car la multiplication de ces interfaces constitue des nouvelles surfaces exposées du SI que les attaquants ciblent de manière croissante et complexe. Ces pratiques de sécurité concernent tant les moyens d’authentification et du contrôle de l’accès à ces API, en tirant parti des protocoles standards (OIDC, OAuth) que de muscler les capacités d’analyse des usages de ces interfaces. A cet effet, l’usage d’un moteur d’Intelligence Artificielle et de Big Data rendra un service particulièrement important.
Concernant le défi financier, nous avons travaillé avec un certain nombre de grandes entreprises ayant lancé leur chantier de modernisation de leurs systèmes d’authentification et de contrôle d’accès. Si la période de transition (de 3 à 15 mois) durant laquelle l’ancien et le nouveau système sont tous deux opérants donne lieu à un cout supplémentaire, l’économie réalisée faisant suite à cette période devient considérable et impacte positivement de nombreuses fonctions IT. Notre conseil est de challenger tout projet réalisé sur ces sujets il y a plus de 6 à 8 ans.
GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?
Arnaud Gallut : Le RGPD a permis une prise de conscience importante de la criticité de manipuler de la donnée à caractère personnel. Selon le secteur d’activité, la Data n’est pas historiquement dans le cœur de l’ADN de l’entreprise. Le RGPD a forcé les entreprises à prendre acte au plus haut niveau de la valeur de la donnée client et des processus qui les entourent. Il ne nous appartient pas de juger la mise en conformité des entreprises, néanmoins des progrès très conséquents ont été réalisés.
GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?
Arnaud Gallut : En 2019 dans la ligne directe des failles de sécurité faisant les gros titres de 2018, il faut s’attendre à toujours plus de failles trouvant leur origine autour des API. Nous sommes au début d’une ère du renforcement de la sécurité à base d’Intelligence Artificielle. L’attaque s’est beaucoup professionnalisée et la défense doit désormais en faire de même.
GS Mag : Quel est votre message à nos lecteurs ?
Arnaud Gallut : Notre message est double :
D’une part : si vous utilisez une technologie d’IAM depuis plus de 5 à 6 ans, il est fort probable qu’elle soit couteuse en ressources, en administration, en frais de maintenance, non standard, difficile à adapter aux nouveaux usages et peu évolutive. Venez nous rencontrer pour comprendre comment l’approche onPremise, SaaS et Hybride de Ping Identity peut résoudre vos problèmes et générer des économies très importantes.
D’autre part, votre entreprise ouvre quotidiennement de nouveaux services avec ses clients, partenaires et fournisseurs en utilisant des API. Pensez à sécuriser vos API face à la menace croissante de fuite de données. Ping Identity peut vous y aider à tous les stades de maturité de vos besoins de sécurité des API. Nos experts sont présents durant le FIC pour partager sur ce sujet.
Articles connexes:
- Alexandre Souillé, Olfeo : la sécurité du SI dépend de la solidité de son maillon le plus faible
- Yann LE BAIL, CEO de BYSTAMP : Nous rendons infalsifiable un document signé
- Guillaume GAMELIN, F-Secure : avec « Rapid Detection and Response Service », le couple Homme -Machine vous apporte une réelle solution clés en main
- Frans Imbert-Vier, CEO d’UBCOM : la Cyber sécurité doit être intégrée dans les stratégies d’affaires des directions opérationnelles
- Nicolas Speciel, UCOPIA : le RGPD conduit les entreprises à mettre en place une stratégie de la sécurité plus holistique
- Renaud GHIA, TIXEO : Il faut revenir à l’essentiel en optant pour des technologies efficaces et reconnues comme le chiffrement de bout-en-bout
- Benoit Grunemwald, ESET : vers une montée en puissance des cyptomineurs en 2019 ?
- Michel Lanaspèze, SOPHOS : plus que jamais, la sécurité n’est pas une option
- Laurent NOE, OVELIANE : Une bonne hygiène des serveurs est indispensable pour éviter la plupart des attaques
- Jacques de La Rivière & Philippe Gillet de Gatewatcher : Il est nécessaire d’anticiper les menaces
- Stéphane Estevez, Splunk : Il est nécessaire de s’équiper de technologies transversales
- Pascal Desmet, Nomios : Les outils aussi automatiques qu’ils soient, doivent être au service d’experts capables de prendre les bonnes décisions
- Jean-Philippe Kalfon, Secret Double Octopus : il faut éliminez les mots de passe des SI pour sécuriser les accès
- Guillaume Garbey, Varonis : le RGPD a légitimé des projets sécurité qui avaient été repoussés pendant de nombreuses années
- Gérôme Billois, Wavestone : 2019 sera une année de transition forte avec les 3 piliers que sont le cloud, l’agile et les API
- François-Xavier Vincent, Oodrive : La Security & Privacy by Design sont des pratiques assez naturelles chez Oodrive
- Christophe Chaubard-Willm, ASSYSTEM - BU Connect : pour limiter les risques il faut élaborer une démarche pragmatique de maitrise
- David Bizeul, CTO de SEKOIA : Nos solutions de sécurité n’hésitent pas à casser les idées reçues et surtout qui sont agréables à utiliser !
- Théodore-Michel Vrangos, I-TRACING : Les RSSI jouent u rôle clé dans les entreprises
- Vincent Meysonnet, Bitdefender : Nous continuons de travailler sur la détection et la protection avancée face à un paysage des menaces en constante évolution
- Christophe da Fonseca, Paessler AG : la détection des événements inhabituels peuvent aider à repérer des activités frauduleuses
- Pascal Le Digol, WatchGuard Technologies : Le déploiement d’outils de sécurité est un gage pour conserver un coup d’avance sur les cyber-malveillants
- Fabien Corrard, Gfi Informatique : la mise en place d’outils de sécurité permet de répondre aux mesures réglementaires
- Emmanuel Gras, ALSID : La prise de conscience de l’importance de la cybersécurité est effective
- David Grout, FireEye : Pour bien se protéger la formation, l’outillage sont clef mais l’intelligence est décisive
- Alexis Nardone, INQUEST, groupe GM Consultant : il faut entamer le chantier de la cybersécurité par des actions pragmatiques et cohérentes
- Didier Cohen, WALLIX : les entreprises doivent penser « Privacy et Security by Design » !
- Franck Mazeau, Panda Security : Un EDR est aujourd’hui indispensable
- Christophe Auberger, Fortinet : le RGPD est une opportunité et un facteur différenciant
- Hervé Rousseau, CEO d’Openminded : le FIC est l’occasion d’échanges fructueux avec l’écosystème de la cybersécurité
- Sophie Tacchi, IBM France : des compétences cyber à la préparation contre les cyberattaques
- Roland Atoui, et Ayman Khalil, Red Alert Labs : Le déploiement des IoT passe par la sécurité
- Michel Gérard, PDG de Conscio Technologies : Faites de vos collaborateurs le maillon fort de votre défense cyber
- Benoît Mangin, AEROHIVE : N’ayez pas peur de passer aux nouveaux usages et aux nouvelles technologies qui le permettent pour améliorer vos business
- Benjamin Leroux, Advens : Security-as-a-service Factory pour industrialiser vos services de Sécurité clé en main
- Bertin IT accélère sur la mise en conformité LPM et NIS en 2019
- Frédéric Braut, Tech Data : Pour déployer une sécurité efficace, il faut savoir adresser le cloud, l’hybridation des infrastructures, la gestion de la donnée ou encore les flux réseaux
- Coralie Héritier, IDNOMIC : Chacun doit œuvrer pour renforcer la confiance numérique
- Sébastien Gest, Vade Secure : Déjouer le piège au premier regard devient un défi pour l’humain…
- Eric Heddeland, Barracuda Networks : De la réponse aux menaces à la sensibilisation
- Raphael Basset ERCOM : Nos solutions de communications et collaboration réconcilient efficacité, sécurité, confidentialité et souveraineté
- Karl Buffin, Skybox Security : Simplifiez la gestion du Cyber Risk
- Marco Rottigni, Qualys : La transformation numérique et les nouvelles réglementations vont changer le rôle et la place du RSSI
- Christian Pijoulat, LogPoint : Automatiser les processus de sécurité est une nécessité !
- Briag Monnier, Scassi : La sécurité n’est pas une fonctionnalité ou une option, c’est un processus
- Steve Kremer, Inria : La recherche académique a un rôle majeur à jouer pour aller vers un monde plus sûr
- Kristine Kirchner, inWebo : Il n’y a plus de frein à la généralisation du MFA pour l’intégrer très en amont dans les applications
- Antoine Coutant, Systancia : L’anticipation des menaces passe par le contrôle des accès à privilège
- Matthieu Dierick, F5 : Le déploiement de services applicatifs accroît la capacité des entreprises à prospérer
- Benjamin SCHILZ, Acorus Networks : La protection DDoS ne s’improvise pas !
- Fabrice Clerc, C.E.O. de 6cure : La dématérialisation met tout le monde sur un cyber-champ de bataille