Eric Perraudeau, Qualys : les éditeurs doivent accompagner les entreprises dans la sécurisation du Cloud avec des outils adéquates
janvier 2018 par Marc Jacob
Tous comme les précédentes années, Qualys sera présent au FIC entre autre pour continuer à sensibiliser les institutions, petites et grandes entreprises. La migration massive vers le Cloud motivée par la transformation numérique elle-même accélérée par les régulations comme le RGDP va conduire les organisations à rehausser leur niveau de sécurité. Eric Perraudeau, Directeur général SEMEA de Qualys considère que c’est aux éditeurs d’accompagner la sécurité dans le Cloud avec les outils adéquates.
Global Security Mag : Quel est l’objectif de votre participation au Forum International de la Cybersécurité 2018 (FIC) ?
Eric Perraudeau : Tout comme lors des années précédentes, notre objectif est de continuer à sensibiliser les institutions, petites et grandes entreprises présentes au FIC. Nous observons la migration massive des entreprises vers le Cloud motivée par la transformation numérique elle-même accélérée par les régulations comme le RGDP. Toutefois, les équipes chargées de la sécurité ne sont pas totalement satisfaites de la manière dont les fournisseurs de Cloud communiquent les détails sur l’activité de ces environnements. Or les entreprises utilisent des applications dans des clouds publics et privés pour accomplir un large éventail d’opérations, dans un cadre commercial, pour la sauvegarde de données, le stockage et l’archivage, ou encore pour des services d’infogérance.
Contrairement à l’enthousiasme sans limite des entreprises, les équipes de sécurité restent méfiantes à bien des égards. Concernant le Shadow IT notamment et plus particulièrement sur des questions d’accès non autorisé aux données sensibles depuis des équipements non administrés ou par d’autres locataires d’un cloud public. Elles s’inquiètent aussi de ne pas être en mesure de réagir correctement aux incidents de sécurité qui affectent les charges de travail du Cloud public de leur entreprise et aussi de ne pas pouvoir chiffrer les données dans ces environnements, ni réaliser des audits pour répondre aux exigences de conformité.
Cependant, résister au Cloud est une utopie, c’est aux éditeurs d’accompagner la sécurité dans le Cloud avec les outils adéquates et non d’y résister avec des solutions inadaptées et obsolètes qui seront, par définition, trop coûteuses.
GS Mag : A l’ère de l’hyperconnexion, comment les entreprises ou les administrations peuvent-elles s’adapter pour lutter contre les cybermenaces ?
Eric Perraudeau : Une visibilité holistique de son organisation est devenue indispensable, elle est en outre préventive et économique. L’empilement de solutions n’est pas une issue convenable. Par exemple, le manque de visibilité et de contrôle sur les charges de travail dans le Cloud public est une source de frustration croissante pour les équipes en charge de la sécurité de l’information.
Dans ce contexte en terme de risque, l’indisponibilité des applications est le premier problème, suivi par la configuration médiocre de composants applicatifs éphémères tels que les conteneurs. La sécurité des conteneurs est d’ailleurs un point que les équipes de sécurité doivent approfondir et maîtriser. Ces applications en conteneurs apparaissent et disparaissent en quelques secondes. Elles ne sont pas déployées au sein d’un processus classique de génération et de déploiement, or il est impératif de savoir ce qui est déployé dans le conteneur ainsi que le type de service applicatif fourni.
Dans des process d’intégration continue c’est ce qu’on appelle le DevOps.
Pour sécuriser correctement les conteneurs et donc les débarrasser des vulnérabilités et problèmes de configuration, Qualys recommande l’approche suivante :
• Pour ce qui est de la prévention, lancez une analyse du code pour la logique applicative et utilisez des référentiels d’images privées, instaurez des contrôles de la configuration des images et du registre pour valider la confiance dans la génération initiale et supervisez le trafic spécifique au conteneur. Comme il n’est pas possible de déployer des correctifs sur des conteneurs en cours d’exécution, les conteneurs existants sont désormais remplacés par des versions et des configurations logicielles actualisées de conteneurs.
• En matière de détection, identifiez et corrigez les vulnérabilités dans le pipeline DevOps, vérifiez la conformité à la génération interne et aux normes du centre CIS et surveillez la communication entre les conteneurs
• Concernant la réponse à apporter, suivez les événements liés aux inventaires et conteneurs, enregistrez les activités des outils d’orchestration à des fins d’analyse, activez la consignation persistante pour les outils SIEM et configurez l’intégration du workflow de gestion des tickets d’incidents
• En termes de prévision, suivez les événements liés aux conteneurs, analysez le comportement des conteneurs et des microservices et détectez les anomalies, mettez en quarantaine et bloquez les utilisateurs et conteneurs au comportement anormal
GS Mag : Selon vous, l’année 2017 a t-elle permis de sensibiliser le top management aux attaques ?
Eric Perraudeau : De fait le COMEX est sensibilisé par l’obligation de mise en conformité avec le RGDP. Dans nombre d’entreprises la réglementation a déjà influencé positivement le top management, voire permis certaines réorganisations. En outre les dirigeants n’ont pas pu ignorer les attaques puissantes qui ont fait la Une de l’actualité en 2017, WannaCry et NotPetya, ces deux attaques par ransomware n’ont pas touché l’ensemble des organisations fort heureusement, mais lorsqu’elles ont abouties les entreprises ont été durement impactées sur leur activité. Cela s’est traduit très concrètement par une perte de chiffre d’affaire, l’arrêt de la production, et un impact sur la réputation... Pour certaines PME cet impact a été irréversible et elles ont dû déposer le bilan.
GS Mag : Comment la menace va t-elle évoluer en 2018 ?
Eric Perraudeau : La cybercriminalité est en hausse constante, les attaques sont polymorphes et les surfaces se multiplient, comme avec l’IoT par exemple. Mais pour rester dans le domaine du Cloud, la hausse du nombre d’entreprises rapportant des vulnérabilités au sein des applications et des données dans le Cloud est très inquiétante. Nous avons conduit une étude en partenariat avec SANS (source : SANS 2017 Cloud Security Survey Report : Defense in Detail if Not in Depth) et ce chiffre est passé de 9% en 2015 à 10% en 2016 avant d’atteindre 20% en 2017. Ce n’est pas anodin. Ce bond s’explique par la combinaison d’un manque d’hygiène de la sécurité, et de cyber-attaques plus sophistiquées et fréquentes. Les attaquants ont adopté un mode industriel, une fois qu’ils vous ciblent, le nombre de cas augmente.
Certaines entreprises ne savent même pas qu’elles ont été victimes d’intrusions. Elles ont besoin d’information et de visibilité.
Les attaques contre les charges de travail dans le Cloud public sont le plus couramment des DoS (Déni de service), suivies par les exploits contre des hyperviseurs vulnérables ou mal configurés et contre des programmes de gestion de la virtualisation. Le piratage de comptes ou de certificats arrive en troisième position, suivi par des exploits contre une vulnérabilité chez le fournisseur d’hébergement.
GS Mag : Quel est votre message à nos lecteurs ?
Eric Perraudeau : Prendre des mesures pour sécuriser dans le Cloud. En dépit des inquiétudes relatives au manque de visibilité et de contrôle, et des attaques couronnées de succès, les équipes de sécurité sont sur la brèche, et elles tentent toutes de renforcer la sécurité et la conformité dans le Cloud public.
Pour ceux présents au FIC 2018, nous proposons une démonstration le mardi 23 janvier de 16h30 à 17h00 à l’espace Solutions, avec Leif Kremkow, notre Directeur technique. Elle s’intitule « Qualys place le "SEC dans le "DEVOPS". Elle portera sur le développement et le déploiement accéléré, agile et sécurisé.
Enfin nous serons heureux d’accueillir les participants sur notre stand pour leur présenter notre plateforme de sécurité dans le Cloud. C’est une offre adaptée qui évolue depuis presque 20 ans, et se décline en Cloud privé pour adresser les organisations qui ont des objectifs et des contraintes de confidentialités importantes.
Articles connexes:
- Jean-Nicolas Piotrowski, ITrust : Prenez une longueur d’avance sur les menaces
- Loïc Guézo, Trend Micro : La gestion des patchs et la formation doivent être une priorité pour optimiser la protection des données
- Jacques de la Rivière, Gatewatcher : Les 0-Days vont se banaliser !
- François Gratiolet, CYRATING : L’accès à une notation fait entrer la cybersécurité dans les COMEX
- Nicolas Arpagian, Orange Cyberdefense : Les organisations doivent investir pour élever leur niveau de sécurité
- Jan-Pieter Spaans, SANS Institute : Les entreprises doivent réévaluer l’expertise de leurs équipes
- Philippe Fonton, Nexus Technology : Nous sécurisons les accès des utilisateurs
- Vincent Riou, CEO Bluecyforce, directeur cybersécurité de CEIS : Il faut vivre la menace pour la comprendre et préparer ses défenses
- Frans Imbert-Vier, CEO d’UBCOM : Les technologies sont extraordinaires, seul l’usage qu’on en fait les rend vulnérables
- Guillaume Massé, RAPID7 : Nous aidons les entreprises à relever les défis en matière de sécurité dans cette nouvelle ère de l’hyperconnectivité
- Renaud GHIA, TIXEO : Pour une vision audacieuse, indépendante et réfléchie afin de gagner en souveraineté
- Antoine Coutant, Directeur Cybersécurité de Systancia : Nous allions innovation et simplicité !
- Emmanuel Gras, Alsid : Sécurité l’Active Directory permet d’allier résilience et hyperconnexion
- David Grout, FireEye : Les entreprises doivent mettre en place des stratégies d’anticipation via la cyber veille
- Mathieu Gemo, Forecomm : Acquérir les bonnes pratiques ne demande pas un effort considérable, ni des moyens financiers colossaux
- Fabien Corrard, Gfi Informatique : Nos nouvelles offres de services vont permettre aux entreprises de se concentrer sur leur Business
- Eric Heddeland, Barracuda Networks : La sécurité est un tout qui va de la protection du SI à la sauvegarde des données
- Frédéric Saulet, LogPoint : Les Directions ne peuvent pas rester insensibles face aux cyber-menaces
- Benjamin Leroux, Advens : une sécurité alignée sur les enjeux métier et agile est la clé du succès
- Karl Buffin, Skybox Security : la complexité des menaces requiert une approche holistique de la sécurité
- Raphaël Illouz, Groupe NES : Devant l’évolution des menaces, les RSSI doivent se reposer sur des partenaires de confiance !
- Laurent Delaporte, Akerva : l’important n‘est pas de savoir si une entreprise va être attaquée mais comment elle va faire face à une cyberattaque
- Gérôme Billois, Wavestone : La cybersécurité doit avancer vers le déploiement des mesures basiques d’hygiène de sécurité et la mobilisation des dirigeants
- Sébastien Gest, Vade Secure : Nous avons une vision temps réel de l’état des menaces et de leurs évolutions
- Christophe da Fonseca, Paessler AG : Avec PRTG Network Monitor, nous détectons des activités frauduleuses au sein des réseaux
- Raphael Basset, ERCOM : Face aux cyber-menaces, il faut privilégier des solutions « privacy by design » et labellisées par l’ANSSI
- Mathieu Rigotto, IMS Networks : face aux menaces, tous les acteurs doivent prendre leur responsabilité
- Alexandre Souillé, Président d’Olfeo : Transformez le facteur humain en maillon fort et alliez le à votre sécurité web !
- Matthieu Bonenfant, Stormshield : La sécurité numérique est une responsabilité citoyenne qui est l’affaire de chacun
- Benoît Grunemwald, ESET : Le RGPD doit être appréhendé comme une opportunité stratégique
- Guillaume Gamelin, F-Secure : Nous nous positionnons comme une alternative européenne de la cybersécurité
- Arnaud Cailleau, Sopra Steria : Les entreprises doivent renforcer leurs dispositifs de sécurité en 2018 pour faire face aux cybermenaces
- Vincent Nicaise, Cybelius : la mise en œuvre de quelque bonnes pratiques de sécurité permet d’atteindre un premier niveau de sécurité
- Christophe Jolly, Vectra : L’IA va jouer un rôle extraordinaire et vite devenir fondamentale…
- Frédéric Julhes, Airbus : une bonne stratégie de sécurité doit reposer sur des facteurs humains et technologiques
- Coralie Héritier, IDNOMIC : Nous portons l’aventure humaine dans notre ADN dont le ressort est la créativité !
- Frédéric Benichou, SentinelOne : face aux attaques récentes, les entreprises doivent privilégier les solutions de nouvelle génération
- Adam Wojnicki, BearingPoint : Il est urgent de revoir les dispositifs de cybersécurité mis en place
- Ludovic Henze, Yourax : il faut impliquer davantage la sécurité dans tous les domaines de l’entreprise
- Emmanuel Besson, 6cure : chaque organisation est une cible potentielle d’attaques DDoS
- Alexis Boissinot, Brainloop : mieux vaut prévenir que guérir
- Xavier Lefaucheux, WALLIX : Les comptes et les accès à privilèges sont au cœur des dispositifs de cybersécurité
- Jean Larroumets, EGERIE : les organisations doivent industrialiser et automatiser leur processus d’aide à la décision
- Ramyan Selvam, JUNIPER NETWORKS : « Le réseau est le remède à la dangereuse fragmentation des solutions de sécurité »
- Michel Dran, Assystem Energy & Infrastructure : face aux nouvelles menaces, il faut adopter une démarche pragmatique