Christophe Auberger, Fortinet : le RGPD est une opportunité et un facteur différenciant
janvier 2019 par Marc Jacob
L’édition 2019 du FIC sera l’occasion pour Fortinet de mettre l’accent sur la protection des données. Christophe Auberger, Directeur Technique France de Fortinet, le RGPD est une opportunité et un facteur différenciant.
GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?
Christophe Auberger : Le concept de “Privacy by Design” a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications dès leur conception. Pour chaque nouvelle application, produit ou service traitant des données à caractère personnel, les entreprises et autres responsables du traitement devraient offrir à leurs utilisateurs ou clients le plus haut niveau possible de protection des données.
Ceci étant, force est de constater que la prise en compte de la protection des données a ? caractère personnel dès les phases amont d’un nouveau projet informatique n’est pas encore entrée dans les mœurs, ni des éditeurs de solutions, ni des donneurs d’ordre ou acheteurs. Les contrôles de conformité ? ou les audits de sécurité ? réalisés par les RSSI montrent que des efforts sont encore a ? consentir dans ce domaine. Mais l’origine de ce constat n’est pas unique, il dépend bien évidemment de l’organisme concerne ?, de sa maturité ? et des pratiques internes en matière de protection des données et des systèmes d’information.
Cependant, il est généralement admis qu’une absence de prise en compte ou une méconnaissance de ces sujets au plus haut niveau de l’organisation est souvent a ? l’origine d’une politique de protection insuffisamment adaptée aux enjeux, et aux risques. Il est indispensable pour l’amélioration de la situation de mettre en place une gouvernance adaptée aux nouveaux enjeux règlementaires et aux nouveaux risques. D’une manière générale, l’équipe projet devra formaliser un dossier de sécurité ? en vue d’une homologation par le responsable des traitements et/ou le dirigeant en complément d’un dossier d’évaluation d’impact sur la vie privée si des données sensibles ou perçues comme sensibles sont traitées.
Le RSSI coordonne les actions relatives au dossier de sécurité ?, le DPO celles relatives a ? l’étude d’impact sur la vie privée.
Il s’agit donc de changements profonds aux impacts multiples sur l’organisme ou l’entreprise à la fois technique, organisationnel et même dans la manière de penser les projets.
GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?
Christophe Auberger : Prendre en compte les aspects protection des données à caractère personnel au plus haut niveau de l’organisation
Mettre en place une gouvernance globale des projets en terme de sécurité et d’analyse des risques relatifs à ces données
Former et sensibiliser l’ensemble des collaborateurs sur ce sujet
GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?
Christophe Auberger : Le règlement général sur la protection des données (RGPD) crée un cadre réglementaire unifié au niveau européen, participant ainsi à la volonté de créer un marché numérique unique au sein de l’Union, estimé à 415 milliards d’euros par an et permettant potentiellement de créer des centaines de milliers d’emplois. Mais ce marché unifié va de pair avec une demande de plus de responsabilités pour gagner la confiance des citoyens. Cette responsabilité pèse directement sur les entreprises qui doivent désormais grantir aux utilisateurs un certain nombre de droits : une information claire sur l’utilisation qui va être faite de leurs données, une possibilité pour eux de consulter les données utilisées, de les modifier ou de les supprimer, etc. Même si beaucoup de ces droits existaient déjà, leur exercice par les utilisateurs était jusque-là fastidieux. De plus les mesures contraignantes sont maintenant très significatives (amendes élevées) . Aujourd’hui toutes les entreprises sont très engagées dans la mise en conformité même si elles n’ont pas toutes atteintes l’objectif.
GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?
Christophe Auberger : Du côté des attaques il n’y a pas de raisons de voir des changements profonds. Le modèle économique de la cybercriminalité est tout à fait viable et pérenne et les organisations engagées dans cette voie disposent de moyens humains, technologiques et ont du temps. Peu d’espoir donc de voir la pression se relâcher d’autant qu’avec la transformation numérique la surface d’attaque des entreprises ne cesse d’augmenter.
Du côté de la défense, nous pouvons espérer qu’avec une prise de conscience de plus en plus généralisée des risques à laquelle le RGPD a participé de manière importante, nous verrons moins de données divulguées. Mais il ne faut pas oublié que malgré une considération de plus en plus stratégique de la cybersécurité, aujourd’hui majoritairement les budgets des entreprises ne sont pas au rendez-vous.
GS Mag : Quel est votre message à nos lecteurs ?
Christophe Auberger : La protection des données à caractère personnel est un enjeu majeur de l’économie digitale d’aujourd’hui, plutôt que de voir la réglementation comme une contrainte ou un frein, il faut la voir comme une opportunité et un facteur différenciant. L’économie numérique est basée sur la confiance, et celle-ci ne peut être obtenue qu’à travers une vraie approche de protection cyber de bout en bout. Les technologies de cybersécurité sont indispensables mais ne peuvent être efficaces que dans un contexte de prise en compte globale où la cybersécurité fait partie intégrante de l’organisation et des processus de l’entreprise.
Articles connexes:
- Alexandre Souillé, Olfeo : la sécurité du SI dépend de la solidité de son maillon le plus faible
- Yann LE BAIL, CEO de BYSTAMP : Nous rendons infalsifiable un document signé
- Guillaume GAMELIN, F-Secure : avec « Rapid Detection and Response Service », le couple Homme -Machine vous apporte une réelle solution clés en main
- Frans Imbert-Vier, CEO d’UBCOM : la Cyber sécurité doit être intégrée dans les stratégies d’affaires des directions opérationnelles
- Nicolas Speciel, UCOPIA : le RGPD conduit les entreprises à mettre en place une stratégie de la sécurité plus holistique
- Renaud GHIA, TIXEO : Il faut revenir à l’essentiel en optant pour des technologies efficaces et reconnues comme le chiffrement de bout-en-bout
- Benoit Grunemwald, ESET : vers une montée en puissance des cyptomineurs en 2019 ?
- Michel Lanaspèze, SOPHOS : plus que jamais, la sécurité n’est pas une option
- Laurent NOE, OVELIANE : Une bonne hygiène des serveurs est indispensable pour éviter la plupart des attaques
- Jacques de La Rivière & Philippe Gillet de Gatewatcher : Il est nécessaire d’anticiper les menaces
- Stéphane Estevez, Splunk : Il est nécessaire de s’équiper de technologies transversales
- Pascal Desmet, Nomios : Les outils aussi automatiques qu’ils soient, doivent être au service d’experts capables de prendre les bonnes décisions
- Jean-Philippe Kalfon, Secret Double Octopus : il faut éliminez les mots de passe des SI pour sécuriser les accès
- Guillaume Garbey, Varonis : le RGPD a légitimé des projets sécurité qui avaient été repoussés pendant de nombreuses années
- Gérôme Billois, Wavestone : 2019 sera une année de transition forte avec les 3 piliers que sont le cloud, l’agile et les API
- François-Xavier Vincent, Oodrive : La Security & Privacy by Design sont des pratiques assez naturelles chez Oodrive
- Christophe Chaubard-Willm, ASSYSTEM - BU Connect : pour limiter les risques il faut élaborer une démarche pragmatique de maitrise
- David Bizeul, CTO de SEKOIA : Nos solutions de sécurité n’hésitent pas à casser les idées reçues et surtout qui sont agréables à utiliser !
- Théodore-Michel Vrangos, I-TRACING : Les RSSI jouent u rôle clé dans les entreprises
- Vincent Meysonnet, Bitdefender : Nous continuons de travailler sur la détection et la protection avancée face à un paysage des menaces en constante évolution
- Christophe da Fonseca, Paessler AG : la détection des événements inhabituels peuvent aider à repérer des activités frauduleuses
- Pascal Le Digol, WatchGuard Technologies : Le déploiement d’outils de sécurité est un gage pour conserver un coup d’avance sur les cyber-malveillants
- Fabien Corrard, Gfi Informatique : la mise en place d’outils de sécurité permet de répondre aux mesures réglementaires
- Emmanuel Gras, ALSID : La prise de conscience de l’importance de la cybersécurité est effective
- David Grout, FireEye : Pour bien se protéger la formation, l’outillage sont clef mais l’intelligence est décisive
- Alexis Nardone, INQUEST, groupe GM Consultant : il faut entamer le chantier de la cybersécurité par des actions pragmatiques et cohérentes
- Didier Cohen, WALLIX : les entreprises doivent penser « Privacy et Security by Design » !
- Franck Mazeau, Panda Security : Un EDR est aujourd’hui indispensable
- Hervé Rousseau, CEO d’Openminded : le FIC est l’occasion d’échanges fructueux avec l’écosystème de la cybersécurité
- Sophie Tacchi, IBM France : des compétences cyber à la préparation contre les cyberattaques
- Roland Atoui, et Ayman Khalil, Red Alert Labs : Le déploiement des IoT passe par la sécurité
- Michel Gérard, PDG de Conscio Technologies : Faites de vos collaborateurs le maillon fort de votre défense cyber
- Benoît Mangin, AEROHIVE : N’ayez pas peur de passer aux nouveaux usages et aux nouvelles technologies qui le permettent pour améliorer vos business
- Benjamin Leroux, Advens : Security-as-a-service Factory pour industrialiser vos services de Sécurité clé en main
- Bertin IT accélère sur la mise en conformité LPM et NIS en 2019
- Frédéric Braut, Tech Data : Pour déployer une sécurité efficace, il faut savoir adresser le cloud, l’hybridation des infrastructures, la gestion de la donnée ou encore les flux réseaux
- Coralie Héritier, IDNOMIC : Chacun doit œuvrer pour renforcer la confiance numérique
- Sébastien Gest, Vade Secure : Déjouer le piège au premier regard devient un défi pour l’humain…
- Eric Heddeland, Barracuda Networks : De la réponse aux menaces à la sensibilisation
- Raphael Basset ERCOM : Nos solutions de communications et collaboration réconcilient efficacité, sécurité, confidentialité et souveraineté
- Karl Buffin, Skybox Security : Simplifiez la gestion du Cyber Risk
- Marco Rottigni, Qualys : La transformation numérique et les nouvelles réglementations vont changer le rôle et la place du RSSI
- Arnaud Gallut, Ping Identity : Pensez à sécuriser vos API face à la menace croissante de fuite de données
- Christian Pijoulat, LogPoint : Automatiser les processus de sécurité est une nécessité !
- Briag Monnier, Scassi : La sécurité n’est pas une fonctionnalité ou une option, c’est un processus
- Steve Kremer, Inria : La recherche académique a un rôle majeur à jouer pour aller vers un monde plus sûr
- Kristine Kirchner, inWebo : Il n’y a plus de frein à la généralisation du MFA pour l’intégrer très en amont dans les applications
- Antoine Coutant, Systancia : L’anticipation des menaces passe par le contrôle des accès à privilège
- Matthieu Dierick, F5 : Le déploiement de services applicatifs accroît la capacité des entreprises à prospérer
- Benjamin SCHILZ, Acorus Networks : La protection DDoS ne s’improvise pas !
- Fabrice Clerc, C.E.O. de 6cure : La dématérialisation met tout le monde sur un cyber-champ de bataille