Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Guillaume Garbey, Varonis : le RGPD a légitimé des projets sécurité qui avaient été repoussés pendant de nombreuses années

janvier 2019 par Marc Jacob

Lors de l’édition 2019 du FIC, Varonis mettra l’accent sur la réduction des risques qui passe par la découverte et de classification des données à caractère personnel. Guillaume Garbey, Country Manager France Varonis considère que le RGPD a légitimé des projets sécurité qui avaient été
repoussés pendant de nombreuses années.

Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion
de la 11ème édition du Forum International de la Cybersécurité ?

Guillaume Garbey :
Les entreprises continuent de travailler à leur mise en conformité au RGPD. Elles
nous font remonter des questions et problématiques très concrètes que nous avons
décidé d’aborder à l’occasion du FIC 2019 : comment optimiser la gestion du
risque, et comment outiller le renforcement du droit des citoyens dont le droit
d’accès rectification ? S’agissant de la gestion du risque, nous mettrons
l’accent pendant le FIC sur la démarche de réduction du risque proposée par
Varonis :
Découverte des DCP (Données à Caractère Personnel) – Comment notre moteur de
classification et nos patterns RGPD permettent de mener cette tâche rapidement, de
manière pragmatique et unique sur de gros volumes de données, on-premise et
online.
Labélisation des données avec l’intégration avec AIP de Microsoft notamment au
travers de notre solution Data Classification Labels
Réduction du profil de risque de manière industrielle et automatique avec
Automation Engine
Mise en place des mesures détection pour se protéger contre les cyber attaques et
les menaces internes avec des Threat Model basés sur du machine learning et ciblés
sur le GDPR
Mise en place de contrôles préventifs dont revues de droits ciblées pour
atteindre le grâle du principe de moindre privilège en le ciblant sur les DCP.

GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou
financier, quels sont les défis liés à la sécurité et à la privacy « 
by-design », thème du FIC 2019 ?

Guillaume Garbey : L’une des principales problématiques liées à la « privacy-by-design » lorsque
l’on parle des données et de leur gouvernance réside dans la difficulté à
définir cette confidentialité sur les données non-structurées. Cette difficulté
à deux explications : le poids de l’historique qui est souvent important
(quantité des données, non-maitrise de leur nature, de leur sensibilité, de leur
usage, schémas de permissions ineffectifs, …), ou l’absence de mise en place
d’une gouvernance autour des données au préalable de l’ouverture d’un
service Cloud, tel qu’Office 365 pour prendre un exemple concret.

Le « privacy-by-design » semble également assez antinomique avec la volonté des
entreprises d’une part, et des utilisateurs d’autre part, de disposer de
services collaboratifs offrant des possibilités de partage de l’information avec
souvent la perte de maitrise du niveau de sécurité.

GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?

Guillaume Garbey : Ils sont simples : Sensibilisation, définition d’une gouvernance pour leurs
données, et choix des bons outils.
Sensibiliser les utilisateurs, les partenaires, l’informatique.
Définir une gouvernance – sans gouvernance autour des données il est impossible
de garantir le niveau de sécurité de ces dernières.
Enfin, outiller, c’est à dire mettre en place des capacités de classification
puissantes, de détection avancée, et de réduction du risque de manière
automatique. Le machine learning est un plus afin de réduire le niveau de faux
positifs, de faciliter le travail des analystes, et de détecter les signaux
faibles.

GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en
sont-elles dans leur mise en conformité ?

Guillaume Garbey : Les chantiers juridiques sont engagés ou terminés – constitution du registre de
traitement, revue des mentions, revue des contrats, etc. En revanche nous
distinguons toujours deux grandes problématiques que les entreprises éprouvent
beaucoup de mal à gérer : la gestion des champs libres (éviter le cas de
collecte de données interdites, insultes, religion, etc.) et les BCR (Binding
Corporate Rules) lorsque cela se justifie.

Le volet gestion de risque a été intégré dans les schémas directeurs et des
mesures organisationnelles et techniques sont en cours d’implémentation pour
réduire le risque d’incident de sécurité. Néanmoins le niveau de maturité est
encore hétérogène en fonction des verticaux, de la nature des activités
(B2C/B2B, etc.) et de la taille des sociétés concernées. Le maillon faible reste
encore et souvent les données non structurées sur les serveurs de fichier, le
cloud, etc. ou la sécurité de l’identité (Active Directory), véritable porte
d’entrée vers les données et les applications. Concernant les données, le
challenge est double, il concerne évidemment la sécurité, mais aussi la capacité
à pouvoir répondre à des demandes de droits d’accès / rectification en
intégrant les millions, voire des centaines de millions de fichiers qui contiennent
des données personnelles.

De manière certaine, le RGPD a légitimé des projets sécurité qui avaient été
repoussés pendant de nombreuses années. C’est le cas notamment des projets de
classification, de labellisation, de SOC (Security Operation Center). Nous
constatons également, une remontée en puissance du normatif (ISO27001) sur le
périmètre des données clients, véritable accélérateur de la mise en
conformité RGPD et de garantie de confiance pour les clients, les partenaires et
les fournisseurs.

GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du
côté de l’attaque ou de la défense ?

Guillaume Garbey : Du côté des attaques, la nature ne changera guère, mais c’est leur fréquence
et leur taux de réussite qui augmentera :

o Le phishing reste la technique la plus simple et efficace pour obtenir les
premiers éléments pour exfiltrer des données

o Les attaques renforcées par de l’IA : les cybercriminels pourront par
exemple automatiser le ciblage de leurs victimes potentielles. Ils pourront aussi
permettre aux logiciels malveillants d’identifier la vulnérabilité des réseaux
et le niveau de réactivité des responsables de la cybersécurité.

o Les ransomwares : le plus en plus évolués, ils ciblent désormais uniquement
les données sensibles, dont les données à caractère personnel, qu’elles soient
hébergées dans le Cloud ou sur des serveurs on-premise.

o Menaces Etatiques : la mondialisation des économies, et la compétition
technologique ou économique féroce que se livrent les grandes entreprises voire
les nations fait que l’on verra de plus en plus d’attaques massives sur de
grandes entreprises via l’introduction de vulnérabilités, des employés
malveillants, des campagnes de phishing, etc.

o La démocratisation de la vente sur le darkweb, où il devient de notoriété
publique que les données à caractère personnel comme une carte vitale, un numéro
de carte bancaire, un listing d’email, des mots de passe, peuvent rapporter gros.

Dans un contexte économique compliqué un employé peut être plus facilement
tenté de « vendre » des données personnelles. Ces pratiques il y a quelques
années étaient non seulement marginales mais ne concernaient surtout que la
propriété intellectuelle.

Coté défense, les entreprises se dotent des solutions de sécurité de nouvelle
génération qui intègrent de l’intelligence artificielle, ou plus exactement du
machine learning. Ces solutions ne sont pas miraculeuses mais permettent de
détecter l’indétectable et facilitent d’autant le travail des analystes
sécurité. Concernant la gestion du risque sur les données non structurées, les
entreprises ont compris qu’il était nécessaire d’avoir une approche plateforme
qui intègre l’ensemble des capacités nécessaires à leur protection :

Classification & Labellisation
Collecte des traces sur les entrepôts de données, et l’Active Directory
Télémétrie, détection des cyber attaques
Gestion des permissions, revues d’habilitations
Remédiation & réduction de l’exposition au risque

GS Mag : Quel est votre message à nos lecteurs ?

Guillaume Garbey : La meilleure façon de mettre en place une stratégie de compliance ou de sécurité
de vos données est de connaitre l’état des lieux. Varonis vous propose de
réaliser un Data Risk Assessment gratuit et rapide, pour le définir et vous
permettre de prendre les mesures adaptées.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants