Eric Haddad, Google Cloud : nous mettons notre priorité sur la security-by-design et de privacy-by-design
octobre 2019 par Marc Jacob
Cette année à l’occasion des Assises de la Sécurité, Google Cloud insistera sur sa certification HDS (Hébergeur de Données de Santé) obtenu en juillet dernier et sur son approche de la sécurité : la double authentification, avec la clé Titan désormais disponible sur le marché français. Pour Eric Haddad, Directeur Général de Google Cloud son entreprise met sa priorité sur la security-by-design et de privacy-by-design véritablement holistique qui est issue de plus de 20 années de pratique de la sécurité dans le cloud.
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Eric Haddad : Les Assises de la Sécurité sont pour nous l’occasion de rencontrer les RSSI et de présenter notre approche de la sécurité informatique et en particulier celle des données. Nous avons une approche de security-by-design et de privacy-by-design véritablement holistique qui est issue de plus de 20 années de pratique de la sécurité dans le cloud, de la protection de huit services ou applications qui ont chacune plus d’un milliard d’utilisateurs et de la gestion d’ une grande partie du trafic Internet qui doit bien sûr être sécurisé.
Cette année, nous allons notamment revenir sur notre certification HDS (Hébergeur de Données de Santé) que nous avons obtenue début juillet et dont l’exigence particulièrement élevée valide la sécurité de nos infrastructures.
Nous parlerons également des derniers éléments qui viennent compléter notre offre et notre approche de la sécurité : la double authentification, avec la clé Titan désormais disponible sur le marché français, le programme de protection avancée qui aide à protéger les comptes personnels Google de toute personne susceptible de subir des attaques ciblées et de son extension aux clients de G Suite, du blocage automatique de l’accès aux applications tierces que l’entreprise n’a pas explicitement marquées comme fiables ou encore de l’activation de la vérification enrichie de l’analyse des emails entrants pour détecter les tentatives de phishing, les programmes malveillants et les pièces jointes afin de rechercher de contenu de ce type.
GS Mag : Quel sera le thème de votre conférence cette année ?
Eric Haddad : Nous allons présenter la gestion de la sécurité et de la protection des données dans le cloud. Comment Google protège son infrastructure, quelle est notre stratégie en termes de sécurité et de conformité. Notre objectif n’est pas tant de nous vanter ni de faire un catalogue de nos technologies disponibles, que d’aider nos clients à comprendre l’implication et l’intégration des différents moyens et outils que l’on met à leur disposition pour gérer la sécurité de leurs données dans le cloud, et quels bénéfices ils peuvent en tirer.
GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2019 ?
Eric Haddad : Nous observons bien entendu ces menaces de très près. Clairement, les attaques ciblées constituent un véritable problème pour les entreprises car elles ciblent des personnes bien précises, et ont pour objectif des données tout aussi précises. Cela passe encore bien souvent par le phishing, donc par l’email. Nous détectons et bloquons une très grande partie de ces attaques, notre service de messagerie Gmail est considéré particulièrement sûr, aussi bien dans sa version grand public que pour les entreprises. Pour les combattre c’est une question à la fois de technologie bien sûr, mais également de process et d’éducation. C’est un effort permanent. Comme nous sommes les premiers, au sein de Google, à utiliser les produits et services que nous mettrons à disposition du marché, nos collaborateurs ont été par exemple les premiers à disposer d’une clé d’authentification et d’un mot de passe unique.
GS Mag : Quid des besoins des entreprises ?
Eric Haddad : Les besoins des entreprises tiennent en 2 mots : Sécurité et Confidentialité.
Il est indispensable que ces 2 points soient assurés, qu’ils soient considérés et respectés lors de la migration des données d’une entreprise dans le cloud, et lors leur utilisation par celle-ci, qu’ils ne l’entravent pas mais bien au contraire qu’ils la facilitent.
La sécurité et la confidentialité sont deux éléments clés pour générer de la confiance, indispensable pour la croissance.
GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?
Eric Haddad : Les entreprises, nos clients, ont besoin de contrôler leurs données. Cette exigence de contrôle était un besoin identifié dès les tout débuts du cloud, il est à l’évidence toujours d’actualité, il perdurera demain et après-demain. Notre priorité a été, est et continuera donc d’être la sécurisation des données de nos clients. Nous étions par exemple le premier fournisseur de cloud à chiffrer par défaut les données en repos et en transit. Nous offrons une transparence unique à nos clients comme avec Access Transparency, qui fournit un enregistrement complet des accès manuels aux données clients par nos ingénieurs quand ils répondent à un ticket de support de ce même client. Cette volonté de transparence se retrouve dans d’autres fonctionnalités comme Cloud Audit Logs, qui présente une vue complète des activités d’administration des données et, sur l’ensemble de la société, notre “transparency report ” qui détaille les données demandées par chaque gouvernement.
Cette priorité donnée à la sécurisation des données de nos clients et le contrôle qu’ils sont en droit et devoir d’avoir sur celles-ci est confirmée également par nos certifications aux normes les plus exigeantes de sécurité et confidentialité, comme la norme ISO 27018, qui oblige les fournisseur de cloud à ne pas utiliser les données résultant d’activités de marketing, sauf demande exprès de la part de la personne concernée.
Enfin, vous savez depuis juin que Chronicle, la société de sécurité informatique qui était dans le giron d’Alphabet, va rejoindre Google Cloud, pour une conjugaison des compétences et des portefeuilles produits, et répondre ainsi au mieux et au plus aux besoins de nos clients.
GS Mag : La sécurité et la privacy « by design » sont devenues incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?
Eric Haddad : La sécurité et la privacy “by design” ont été et continuent d’être au coeur de notre stratégie et de notre offre. Chacune et chacun au sein de Google est pleinement responsable de l’exécution de cette politique à travers l’ensemble de nos systèmes et l’ensemble de nos comportements au quotidien. Nous sommes très clairs et très transparents sur notre approche des données : les données appartiennent aux clients, pas à Google. Google ne vend jamais de données clients à des tiers. Google Cloud n’utilise pas de données clients à des fins publicitaires. Toutes les données clients sont chiffrées par défaut. Nous protégeons les informations contre les accès internes non-autorisés. Nous n’avons jamais permis de “porte dérobée” à quelque organisation gouvernementale que ce soit et nous ne le permettrons jamais. Nos standards de confidentialité, de ‘privacy’ sont régulièrement audités selon les standards internationaux les plus stricts.
GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?
Eric Haddad : D’une façon générale, et sans entrer dans un catalogue de technologies et de produits, la meilleure approche semble être de considérer en premier lieu la donnée, et de répondre à des questions a priori simples : quoi ? qui ? quand ? pourquoi ? comment ?
Autre conseil : adoptez une approche “zero trust”, ce qui permettra de passer en revue le plus grand nombre de scenarios d’attaques externes ou internes.
L’utilisation des données par l’entreprise à court, moyen et long termes, ses projets et activités reposant sur elles vont ainsi impacter l’approche de sécurité qui, dans tous les cas, devra être la plus stricte et la plus étendue possible.
GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?
Eric Haddad : Notre message est double : soyez exigeants et soyez objectifs.
L’exigence est à l’évidence de mise car la protection et la sécurisation des données est essentielle si l’on veut développer de nouvelles activités qui reposent sur celles-ci, a fortiori mais évidemment pas uniquement dans le cloud.
Et soyez objectifs dans vos décisions, sans céder à certaines sirènes qui entonnent bien souvent la chanson de la peur : chaque fournisseur de cloud a des obligations technologiques, légales, contractuelles qui sont et doivent être consignées en toute transparence. Il serait dommage que votre entreprise ne puisse pas profiter, pour des raisons infondées, de l’avantage compétitif que représente la bonne utilisation des technologies numériques. Les meilleures décisions, et les plus sûres, s’appuient sur des faits et des chiffres.
Articles connexes:
- Christophe Baron, Itrust : Les SOC à base d’IA permettent de renforcer le niveau de sécurité des organisations
- Fabien Miquet, Siemens Digital Industries : Le centre de gravité de la cybersécurité industrielle est à l’intersection des mondes de l’entreprise
- Laurent Cayatte et Nicolas Verdier, Metsys : la meilleure stratégie financière est de favoriser l’investissement dans la cybersécurité en amont des projets
- Ramyan SELVAM, Juniper Networks : SD-WAN, la sécurité doit être prise en compte dès la genèse des projets
- Jacques de La Rivière, Gatewatcher : Le concept de SOAR est un enjeu majeur pour les entreprises
- Marc Behar, CEO d’XMCO : l’anticipation des menaces passe par du pentest et du déploiement d’outils de cyber-surveillance
- Nurfedin Zejnulahi, Trend Micro : les entreprises doivent détecter les menaces pour y réagir rapidement
- Christian Guyon, Forcepoint : la clé de la cybersécurité moderne repose sur la compréhension du comportement
- Patrice Puichaud, SentinelOne : Nous offrons optimisation, visibilité et protection sur les SI pour un petit budget
- Stéphane Dahan, CEO de Securiview : Back to basic !
- Alexis Bouchauveau, Skybox Security : les RSSI doivent considérer la cybersécurité comme un levier commercial
- Christophe Grangeon, DG d’USERCUBE : Les RSSI ne doivent plus hésiter à faire basculer leurs projets IAM / IAG en mode SaaS
- Philippe Rondel, Check Point Software Technologies : Diminuer la surface de risque est insuffisant, il faut aussi déployer des systèmes de protection
- Bogdan Botezatu, Bitdefender : la cybersécurité est un sport d’équipe avec des règles pour protéger l’entreprise
- Guillaume Masse, Rapid7 : les RSSI doivent développer leur approche de la cybersécurité par les risques pour mieux convaincre les métiers et les directions
- Antoine Coutant, Synétis : Anticiper les menaces, c’est empêcher qu’elles ne se produisent
- Lookout : Les risques mobiles doivent être pris en compte
- Benjamin Leroux, Advens : Concentrez-vous sur les travaux à valeur ajoutée et laissez Advens s’occuper du reste !
- Arnaud Lemaire, F5 : Penchez vous sur l’orchestration de la sécurité
- Xavier Lefaucheux, WALLIX : Nous accompagnons les RSSI dans leur futur numérique sécurisé
- Christophe Auberger, Fortinet : Il faut sortir d’une approche de la sécurité en silo
- Théodore-Michel Vrangos, I-TRACING : Nous sommes présents auprès des RSSI pour leur apporter toute notre expertise
- Pour les Assises, Brainwave met de l’intelligence (artificielle) dans les revues de comptes
- Emmanuel Meriot, Darktrace : Antigena protège le parc numérique jour et nuit, week-end et jours fériés
- Jean-Dominique Quien, inWebo : la sécurisation des accès est un sujet trop sensible pour être confié à des acteurs qui n’y ont pensé qu’après coup
- Pierre-Yves Pophin et Christophe Jourdet, NTT Ltd. France : tous les départements d’une entreprise sont concernés par les risques potentiels liés à la numérisation
- Julien Tarnowski, Forescout Technologies : Notre plateforme apporte visibilité et contrôle du réseau
- Eric Dehais, Oppida : la sécurité est l’affaire de tous et ne doit pas seulement reposer sur les épaules d’un RSSI
- Arnaud Pilon, IMS Networks : la protection de la donnée qu’elle soit personnelle ou non est inscrite depuis longtemps dans notre ADN
- William Culbert, BeyondTrust : les solutions d’hier ne sont pas toutes les solutions de demain
- Ghaleb Zekri, VMware : il faut encourager une culture de sensibilisation et de collaboration entre les métiers et les équipes de sécurité
- Christophe Jolly, Vectra : l’automatisation est un des éléments clés pour anticiper les défis du recrutement et de fidélisation des collaborateurs
- Fabien Corrard, Gfi Informatique : Exploitez vos logs pour améliorer votre posture sécurité
- Frédéric Julhes, Airbus CyberSecurity France : les entreprises doivent développer une approche globale de la sécurité
- Philippe Courtot, Qualys : la gratuité contribue à faire évoluer la sécurité dans la société
- Julien Chamonal, Varonis : détecter les accès illégitimes aux données est la clé de voûte de la sécurité
- Hervé Rousseau, Openminded : « Pragmatisme », le maître mot d’une bonne gestion et gouvernance des identités
- Aurélien Debièvre, Citalid Cybersécurité : « Construisons ensemble votre stratégie de gestion du risque cyber ! »
- Nicolas Petroussenko, Okta : connectez les bonnes personnes aux bonnes technologies au bon moment
- Renaud Templier, Devoteam : la transformation numérique nécessite de repenser son approche sécurité
- Paul Bayle, Atos : comment suivre le niveau de sécurité global de son SI ?
- Gérôme Billois, Wavestone : RSSI, profitez de cette prise de conscience pour vous rapprocher du métier
- Arnaud Gallut, Ping Identity : Nous souhaitons offrir l’expérience client la plus simple, fluide et sécurisée possible
- Faycal Mouhieddine, CISCO : la stratégie « Zero Trust » répond aux enjeux du paysage informatique
- Dagobert Levy, Tanium : Il est vital de savoir ce que l’on doit protéger !
- Didier Guyomarc’h, Zscaler Les RSSI doivent mettre en place les processus élémentaires en matière d’hygiène de sécurité et de contrôle d’accès
- Gilles Castéran, Accenture Security France : les entreprises doivent construire une culture de la sécurité pour se protéger collectivement et individuellement
- Alexandre Delcayre, Palo Alto Networks : la priorité des RSSI doit être d’optimiser et d’automatiser les opérations autour de la cybersécurité
- Bernard Debauche, Systancia : des solutions concrètes existent pour permettre de mieux maitriser l’accès de tiers aux ressources IT critiques de leur SI
- Daniel Benabou et Daniel Rezlan IDECSI : les RSSI ne doivent pas avoir peur du changement, ni de responsabiliser l’utilisateur dans leur approche de la cybersécurité
- Alexandre Souillé, Olfeo : Optez pour une solution dédiée telle que le Proxy d’entreprise, c’est la garantie d’une protection optimale contre les cybermenaces !
- Laurent Theringaud, Ercom : la gamme de produits d’Ercom fournit des solutions pour les DSI, validées par les RSSI
- David Grout, FireEye : il est important de pouvoir s’évaluer de manière factuelle, régulière et répétitive pour comprendre et maitriser son risque
- Guillaume Gamelin, F-Secure : La cybersécurité évolue très rapidement mais notre expérience de plus de 30 ans peut faire la différence chez vous !
- Jean-Benoît Nonque, Ivanti : En matière de cybersécurité les entreprises doivent « penser automatisation »
- Jean-Michel Tavernier, MobileIron : la réduction des cyber-risques passe par la sensibilisation et les outils techniques
- Eric Fries, ALLENTIS : « Simplifier la mise en conformité avec la LPM »
- Fabrice Clerc, de 6Cure : la lutte contre les cybermenaces passe par une posture collaborative entre éditeurs
- Fabrice Bérose, Ilex International : Travailler avec Ilex, c’est privilégier une relation individualisée basée sur l’agilité, la réactivité et l’adaptabilité
- Ronan David, EfficientIP : il faut remettre en cause en permanence les solutions établies et les processus
- Jérôme Chagnoux, Oracle France : la meilleure façon de limiter les risques est de ne pas freiner l’adoption des nouvelles technologies
- Coralie Héritier, IDnomic : il faut transcender le seul objectif de protection, et proposer au marché des solutions de cybersécurité véritablement créatrices de valeur ajoutée
- Chardy Ndiki, Contrast Security : il est important de moderniser vos outils de sécurité applicatives
- Ludovic de Carcouët, CEO de DIGITEMIS les dirigeants attendent des RSSI des propositions concrètes et une vision rassurante
- Francois Delepine Venafi : Le défi de la cybersécurité est de taille et nécessite des outils et 3 principes : visibilité, intelligence et automatisation
- Nabil Bousselham, Veracode : Les RSSI doivent adopter une approche proactive en utilisant des outils modernes et de l’automatisation
- Kevin POLIZZI, Jaguar Network : La maîtrise de la sécurité des applications est un enjeu majeur pour toute entreprise
- Joël Mollo, CrowdStrike : Avoir un regard nouveau sur sa sécurité est devenu primordial
- Van Vliet, Digital Guardian : les outils tout en un peuvent simplifier le travail des équipes sécurité
- Bruno Leclerc, Sophos : à chaque entreprise son accompagnement
- Philippe Corneloup, Centrify : il est primordial de mettre en place une sécurité de « Zero trust Privilege »