François-Xavier Vincent, Oodrive : La Security & Privacy by Design sont des pratiques assez naturelles chez Oodrive
janvier 2019 par Marc Jacob
Pour sa nouvelle participation au FIC, Oodrive sera présent sur le pavillon d’Hexatrustet présentera ses solutions d’Oodrive pour la gestion des données sensibles. Le RGPD est donc au cœur des offres d’Oodrive. Ainsi François-Xavier Vincent, Group CISO & DPO d’Oodrive estime que la Security & Privacy by Design sont des pratiques assez naturelles chez Oodrive.
Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?
François-Xavier Vincent : A l’occasion du FIC 2019, nous allons participer mercredi 23 Janvier à 15h00 à une table ronde autour du thème : « Mobilité et sécurité : comment adapter le poste de travail ? ».
Lors de cet atelier, nous parlerons des problématiques de sécurité liés à l’utilisation multi-device et au développement de nouveaux usages. Nous donnerons également un éclairage sur les solutions logicielles permettant de sécuriser les postes de travail et les mobiles, et de protéger les données partagées en ligne.
Par ailleurs, les experts Oodrive seront présents sur le pavillon Hexatrust, au stand n°9 pour apporter aux visiteurs plus d’informations sur les solutions d’Oodrive pour la gestion des données sensibles.
GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?
François-Xavier Vincent : Nous avons la chance chez Oodrive d’avoir des équipes agiles et réactives. La sécurité est au cœur de notre proposition de valeur. Elle fait partie de l’ADN de notre groupe depuis sa création en 2000. Security & Privacy by Design sont donc des pratiques assez naturelles chez Oodrive, même si l’évolution réglementaire, tout comme l’accroissement des exigences des utilisateurs, en renforcent la nécessité.
De manière générale, le principal défi est de prendre en compte le plus en amont possible les considérations liées à la sécurité et à la protection de la vie privée : plus tôt on sait les intégrer, moins elles coûtent en temps et en argent, et plus elles sont efficaces. Aussi, un contrôle indépendant doit pouvoir s’exercer pour confirmer le maintien dans le temps des principes de Security & Privacy by Design.
GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?
François-Xavier Vincent : Dans une approche holistique, il est très souhaitable de considérer les trois dimensions complémentaires : people - process – technology (humain - processus - technique).
People : s’assurer que toutes les personnes impliquées dans le développement ou la mise en place de services ont le bon niveau d’information et de formation, à la fois sur les exigences, les principes et les bonnes pratiques liées à Security & Privacy by design.
Process : dès la conception d’un service et à chaque étape de son développement, de sa mise en place et de son exploitation, les principes de Security & Privacy by design doivent être mis en œuvre. A titre d’exemple, on peut formaliser des points d’étapes dans le processus de gestion de projets, où les sujets de sécurité et Privacy sont explicitement traités.
Technology : les solutions techniques utilisées doivent naturellement permettre la mise en œuvre des principes de Security & Privacy by design sans devoir pour cela ajouter des « verrues » sources de complexité et donc de risques. Cela passe aussi par des configurations par défaut qui minimisent le recueil et le traitement de données personnelles et sensibles, et qui activent toutes les options de sécurité.
GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?
François-Xavier Vincent : La partie émergée de l’iceberg est la mise en conformité contractuelle, qui s’est traduite par une nuée d’amendements dans tous les sens – sans compter l’information aux personnes concernées qui a bien rempli les boîtes emails !
Les processus internes varient grandement selon les entreprises. Chez Oodrive, dont je suis DPO, de nombreuses évolutions ont eu lieu, outre les mises à jour contractuelles avec nos clients et nos fournisseurs. Parmi ces actions figurent : formalisation de registres de traitement, mise en place d’une gouvernance avec des Privacy Champions dans chaque département, sensibilisation des collaborateurs, renforcement du Privacy by Design, du principe de minimisation, etc.
De plus, nous travaillons en étroite collaboration avec le Marketing pour promouvoir un développement commercial respectueux du RGPD et des droits des personnes : toute contrainte est une opportunité, particulièrement pour Oodrive, leader dans la gestion de la donnée sensible !
GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?
François-Xavier Vincent : Les prévisions sont difficiles, surtout lorsqu’elles concernent l’avenir ! Sans avoir ma boule de cristal, on peut s’attendre à constater une meilleure organisation des attaquants, qui s’allient et s’organisent pour des cyber-attaques toujours plus ciblées et efficaces.
On devrait toutefois constater moins de malware avec minage, vue la baisse du cours de crypto-monnaies.
Côté défense, on se protège toujours mieux de la menace externe classique (par exemple les APIs sont de plus en plus robustes), mais la menace interne reste un challenge multiforme, pas toujours bien cerné.
GS Mag : Quel est votre message à nos lecteurs ?
François-Xavier Vincent : Pratiquer la méditation de pleine conscience et respirer par le ventre !
Non seulement cela est bénéfique pour la santé et l’équilibre, mais surtout cela aide à prendre le recul nécessaire pour identifier les sujets réellement critiques dans l’avalanche quotidienne d’événements, d’alertes et d’urgences plus ou moins artificielles. Il est ainsi indispensable de savoir se poser pour ensuite agir avec le maximum d’impact et d’efficacité, en fonction de ses ressources et des objectifs de son organisation.
Articles connexes:
- Alexandre Souillé, Olfeo : la sécurité du SI dépend de la solidité de son maillon le plus faible
- Yann LE BAIL, CEO de BYSTAMP : Nous rendons infalsifiable un document signé
- Guillaume GAMELIN, F-Secure : avec « Rapid Detection and Response Service », le couple Homme -Machine vous apporte une réelle solution clés en main
- Frans Imbert-Vier, CEO d’UBCOM : la Cyber sécurité doit être intégrée dans les stratégies d’affaires des directions opérationnelles
- Nicolas Speciel, UCOPIA : le RGPD conduit les entreprises à mettre en place une stratégie de la sécurité plus holistique
- Renaud GHIA, TIXEO : Il faut revenir à l’essentiel en optant pour des technologies efficaces et reconnues comme le chiffrement de bout-en-bout
- Benoit Grunemwald, ESET : vers une montée en puissance des cyptomineurs en 2019 ?
- Michel Lanaspèze, SOPHOS : plus que jamais, la sécurité n’est pas une option
- Laurent NOE, OVELIANE : Une bonne hygiène des serveurs est indispensable pour éviter la plupart des attaques
- Jacques de La Rivière & Philippe Gillet de Gatewatcher : Il est nécessaire d’anticiper les menaces
- Stéphane Estevez, Splunk : Il est nécessaire de s’équiper de technologies transversales
- Pascal Desmet, Nomios : Les outils aussi automatiques qu’ils soient, doivent être au service d’experts capables de prendre les bonnes décisions
- Jean-Philippe Kalfon, Secret Double Octopus : il faut éliminez les mots de passe des SI pour sécuriser les accès
- Guillaume Garbey, Varonis : le RGPD a légitimé des projets sécurité qui avaient été repoussés pendant de nombreuses années
- Gérôme Billois, Wavestone : 2019 sera une année de transition forte avec les 3 piliers que sont le cloud, l’agile et les API
- Christophe Chaubard-Willm, ASSYSTEM - BU Connect : pour limiter les risques il faut élaborer une démarche pragmatique de maitrise
- David Bizeul, CTO de SEKOIA : Nos solutions de sécurité n’hésitent pas à casser les idées reçues et surtout qui sont agréables à utiliser !
- Théodore-Michel Vrangos, I-TRACING : Les RSSI jouent u rôle clé dans les entreprises
- Vincent Meysonnet, Bitdefender : Nous continuons de travailler sur la détection et la protection avancée face à un paysage des menaces en constante évolution
- Christophe da Fonseca, Paessler AG : la détection des événements inhabituels peuvent aider à repérer des activités frauduleuses
- Pascal Le Digol, WatchGuard Technologies : Le déploiement d’outils de sécurité est un gage pour conserver un coup d’avance sur les cyber-malveillants
- Fabien Corrard, Gfi Informatique : la mise en place d’outils de sécurité permet de répondre aux mesures réglementaires
- Emmanuel Gras, ALSID : La prise de conscience de l’importance de la cybersécurité est effective
- David Grout, FireEye : Pour bien se protéger la formation, l’outillage sont clef mais l’intelligence est décisive
- Alexis Nardone, INQUEST, groupe GM Consultant : il faut entamer le chantier de la cybersécurité par des actions pragmatiques et cohérentes
- Didier Cohen, WALLIX : les entreprises doivent penser « Privacy et Security by Design » !
- Franck Mazeau, Panda Security : Un EDR est aujourd’hui indispensable
- Christophe Auberger, Fortinet : le RGPD est une opportunité et un facteur différenciant
- Hervé Rousseau, CEO d’Openminded : le FIC est l’occasion d’échanges fructueux avec l’écosystème de la cybersécurité
- Sophie Tacchi, IBM France : des compétences cyber à la préparation contre les cyberattaques
- Roland Atoui, et Ayman Khalil, Red Alert Labs : Le déploiement des IoT passe par la sécurité
- Michel Gérard, PDG de Conscio Technologies : Faites de vos collaborateurs le maillon fort de votre défense cyber
- Benoît Mangin, AEROHIVE : N’ayez pas peur de passer aux nouveaux usages et aux nouvelles technologies qui le permettent pour améliorer vos business
- Benjamin Leroux, Advens : Security-as-a-service Factory pour industrialiser vos services de Sécurité clé en main
- Bertin IT accélère sur la mise en conformité LPM et NIS en 2019
- Frédéric Braut, Tech Data : Pour déployer une sécurité efficace, il faut savoir adresser le cloud, l’hybridation des infrastructures, la gestion de la donnée ou encore les flux réseaux
- Coralie Héritier, IDNOMIC : Chacun doit œuvrer pour renforcer la confiance numérique
- Sébastien Gest, Vade Secure : Déjouer le piège au premier regard devient un défi pour l’humain…
- Eric Heddeland, Barracuda Networks : De la réponse aux menaces à la sensibilisation
- Raphael Basset ERCOM : Nos solutions de communications et collaboration réconcilient efficacité, sécurité, confidentialité et souveraineté
- Karl Buffin, Skybox Security : Simplifiez la gestion du Cyber Risk
- Marco Rottigni, Qualys : La transformation numérique et les nouvelles réglementations vont changer le rôle et la place du RSSI
- Arnaud Gallut, Ping Identity : Pensez à sécuriser vos API face à la menace croissante de fuite de données
- Christian Pijoulat, LogPoint : Automatiser les processus de sécurité est une nécessité !
- Briag Monnier, Scassi : La sécurité n’est pas une fonctionnalité ou une option, c’est un processus
- Steve Kremer, Inria : La recherche académique a un rôle majeur à jouer pour aller vers un monde plus sûr
- Kristine Kirchner, inWebo : Il n’y a plus de frein à la généralisation du MFA pour l’intégrer très en amont dans les applications
- Antoine Coutant, Systancia : L’anticipation des menaces passe par le contrôle des accès à privilège
- Matthieu Dierick, F5 : Le déploiement de services applicatifs accroît la capacité des entreprises à prospérer
- Benjamin SCHILZ, Acorus Networks : La protection DDoS ne s’improvise pas !
- Fabrice Clerc, C.E.O. de 6cure : La dématérialisation met tout le monde sur un cyber-champ de bataille