Hervé Liotaud, SailPoint : Les programmes d’identités doivent être considérés comme un projet pleinement sécuritaire
octobre 2022 par Marc Jacob
Les Assises seront l’occasion pour SailPoint de présenter ses solutions d’IAM qui s’articulent autour de l’Identity Security Platform, qui permet d’alléger et d’automatiser les processus grâce aux technologies sur l’IA et le Machine Learning qu’elle intègre. Hervé Liotaud, VP South Europe de SailPoint considère qu’il est important pour les RSSI de déployer leur force de conviction auprès du CoDir ou du Comex afin de présenter le programme d’identités comme un projet pleinement sécuritaire.
Global Security Mag : Qu’allez-vous présenter à l’occasion de l’édition 2022 des Assises ?
Hervé Liotaud : Nous allons très concrètement intervenir dans le cadre d’un retour d’expérience, aux côtés d’un des acteurs majeurs du luxe français, que nous accompagnons depuis 2021. Nous allons également évoquer le repositionnement de SailPoint sur la sécurité des Identités numériques. Au-delà de la mise en place de notre nouveau logo, nous avons fait de la sécurité notre priorité, la pierre angulaire de l’ensemble de nos actions. Les solutions SailPoint s’articulent autour de l’Identity Security Platform. Jusqu’alors, la sécurité était l’un de nos arguments : en 2022, elle est primordiale. Le contexte, dans lequel nous évoluons tous, peut à lui seul justifier ce tournant stratégique : prolifération des cyber-attaques, généralisation du mode SaaS, développement du télétravail, extension du périmètre couvert par la cybersécurité… Dans de telles conditions, outre la sécurité, SailPoint a fait beaucoup d’efforts afin de mettre en place des solutions intelligentes, qui simplifient la compréhension pour nos clients. Nous insistons beaucoup sur l’IA et le Machine Learning, qui sont chez nous une réalité. Notre offre permet de soulager et d’automatiser les process, ce qui plaît beaucoup à nos clients. Sur ce point, la loi de Pareto nous guide : 80 % d’automatisation et 20 % d’intelligence humaine.
GS Mag : Quel est le thème de votre conférence ?
Hervé Liotaud : Le 13 octobre à 15h, le CISO et le Responsable IAM d’un acteur majeur du luxe français témoigneront du lancement de leur programme IAM, que l’entreprise a lancé en 2021 et qui s’est déployé depuis de manière extrêmement ambitieuse et pragmatique avec un partenaire intégrateur efficace. Très vite, la priorité a été donnée à l’amélioration du cycle de vie des identités et à la mise sous contrôle de ses applications. Le projet est bâti sur la solution IDN IdentityNow (IDN) de SailPoint, dans un contexte multi-populations accédantes et multi-entrées. Il a été mené avec l’ensemble des acteurs de l’entreprise, dans un contexte interne de déploiement d’un SIRH groupe. Nous évoquerons ensemble la stratégie de déploiement qui a été mise en place dans le cadre de ce projet ainsi que les nombreux défis qui ont été relevés : sur l’urbanisation, l’architecture, l’organisation et la gouvernance principalement. Nous ferons le point sur les clés du succès qui ont caractérisé ce déploiement, en insistant particulièrement sur le fait qu’elles sont organisationnelles et non pas financières. Le projet réalisé par ce groupe n’est pas plus onéreux qu’un autre ; en revanche, il se signale par sa dimension méthodique. Nous sommes ici dans la quintessence des Best Practices…
GS Mag : Quels sont les points forts de la solution que vous allez présenter ?
Hervé Liotaud : Notre solution se caractérise par une forte plus-value en termes d’automatisation. Intelligence artificielle, Machine Learning, rapidité de déploiement et budget maîtrisé : nous répondons aux exigences du marché, lequel se caractérise désormais par son niveau de maturité. Jusqu’à une période récente, seules les grandes entreprises et certains secteurs – la finance notamment – se révélaient sensibles à la gestion des identités. Désormais, tous les secteurs sont concernés, ainsi que tous les types d’entreprises, de la grosse PME au grand groupe. L’un des principaux points forts de notre solution, c’est d’être adaptée à ces demandes à 360°, mais également de permettre des gains de temps importants au sein des organisations. Nos modèles de rôles ont ici un impact décisif : ils permettent de faire entrer chaque membre de l’organisation dans un profil adapté prédéfini et ajusté. L’automatisation fait le reste. Plus le temps passe, plus notre outil déploie son intelligence pour affiner les identités.
GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour aider les entreprises à lutter contre les cybermenaces ?
Hervé Liotaud : Nous allons poursuivre le travail de R&D (plusieurs centaines de développeurs chez SailPoint afin d’automatiser toujours plus et d’affiner nos briques d’IA, et nous allons le faire pour tous les types d’entreprises. Dans un contexte qui voit des organisations de toutes tailles et de tous secteurs de plus en plus interconnectées avec leurs sous-traitants, leurs partenaires, mais également leurs propres collaborateurs, la mobilité et la souplesse des entreprises, dans un contexte Cloud, constituent des paramètres importants. Les univers sont désormais très ouverts, et ils brassent un très grand nombre de données qui pour certaines sont stratégiques. La sécurité, c’est aussi de la data qu’il convient de bien savoir gérer.
GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?
Hervé Liotaud : Il y a plusieurs choses à dire pour limiter les risques. D’abord, je crois qu’il faut rappeler sans cesse les Best Practices : déploiement de la culture du Zero Trust, automatisation de l’On Boarding, suppressions des comptes orphelins… Il convient également d’étendre ces pratiques au déploiement du projet de sécurité des identités lui-même. Coordination interne, alignement des métiers, élimination des risques élevés, support du Board…. Voici aussi ce qui compte ! Ce dernier point est d’ailleurs essentiel. En étant les promoteurs d’un projet, les dirigeants en garantissent le succès. Enfin, je crois qu’il faut éviter de réinventer la roue en permanence : nous avons souvent affaire à des entreprises qui font appel à des partenaires qui sont loin d’être des spécialistes, et qui peinent à aller à l’essentiel. Cela leur est préjudiciable, à la fois en termes de planning et d’investissement financier. Lorsque vous voulez apprendre à conduire une voiture de rallye, c’est avec un instructeur chevronné que vous serez le plus à-même de le faire… C’est l’idée que nous défendons, par souci d’efficacité pour nos clients.
GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?
Hervé Liotaud : Je voudrais leur redire combien les projets qu’ils portent sont stratégiques et non pas seulement techniques. Une solution de sécurité des identités s’appréhende comme un projet de développement pour une entreprise, et c’est d’ailleurs pour cette raison que dans certains cas, tels que dans le témoignage, le Top Management est en soutien. Je dirais donc aux RSSI qu’il est important pour eux de déployer leur force de conviction auprès du CoDir ou du Comex afin de présenter le programme d’identités comme un projet pleinement sécuritaire. Je leur conseillerais également, comme je le disais à l’instant, de se faire accompagner par des spécialistes. N’y allez pas tout seuls ! Enfin, je leur proposerais de commencer par cibler les applications de leur organisation sur lesquelles se concentre l’essentiel de la valeur de leur entreprise. Quel est leur projet prioritaire ? C’est là que l’on peut mesurer la valeur, la fameuse Time To Value. Car la sécurité des identités est aussi et avant tout un service rendu aux utilisateurs !
– Contact : Hervé Liotaud, AVP Europe du sud – herve.liotaud@sailpoint.com
www.sailpoint.com/fr
Articles connexes:
- Vladimir Kolla, Founder de Patrowl : il est essentiel de simplifier la cybersécurité pour les RSSI
- Maxime Alay-Eddine, Cyberwatch : La pertinence de l’offre française devait inciter les RSSI à étudier de près les solutions du groupement Hexatrust
- Christian d’Orival, CryptoNext Security : La migration post quantique est en marche
- Lionel Doumeng, WithSecure : Nous avons changé de nom pour créer les solutions adaptées à la co-sécurité
- Pierre-Yves Hentzen, CEO de Stormshield : nous nous tenons auprès des RSSI pour les aider à protéger les les biens comme les personnes lorsqu’il s’agit de risques industriels
- Olivier Tireau, SentinelOne : Les technologies sont essentielles mais la cybersécurité, c’est avant tout un sport d’équipe !
- David Grout, Mandiant : Le challenge le plus important pour les RSSI reste de démontrer le bien-fondé des investissements
- Benjamin Leroux, Advens : Nous devons unir nos forces et nos talents pour renverser le rapport de force entre attaquants et défenseurs
- Giuseppe Brizio, Qualys Technologies SA : L’approche de la cybersécurité doit être basée sur l’analyse des risques et les impacts en cas de cyberattaques réussies
- Thomas Manierre, BeyondTrust : Nous pouvons travailler conjointement avec les RSSI et les équipes concernées
- Gerald Delplace, Imperva : Le défi pour les entreprises sera d’obtenir une véritable visibilité et un contrôle de leurs données dans différents environnements
- Bertrand De Labrouhe, Gigamon : face aux menaces, la visibilité est un des leviers principaux de l’atténuation du risque de ransomware
- Jean-Michel Tavernier, ARMIS : les entreprises ont besoin de connaitre l’ensemble de leur réseau
- Rémi Habraken, SYNETIS : Quand on construit sa feuille de route sécurité, il faut conserver un équilibre Technologie - People - Process
- Théodore-Michel Vrangos, I-TRACING : Notre objectif est de délivrer une sécurité avant tout opérationnelle
- Christian Guyon, Forcepoint : Le SASE est dans toutes les têtes et toutes les communications
- Laurent Tombois, Bitdefender : les entreprises doivent adopter des capacités de détection et de réponse
- Julian Gouez, HelpSystems : Les entreprises ont besoin d’une protection complète contre un large éventail de menaces
- Fatima Mesdour, Pentera : Les RSSI doivent « Révolutionner le processus de tests en cybersécurité »
- Olivier Spielmann Kudelski Security : la SSI est un travail d’équipe de confiance
- Alexandre Souillé, Président d’Olfeo : Nous souhaitons redonner de la sérénité aux DSI et RSSI dont l’anxiété s’accroît face à la menace omniprésente
- Nicolas Arpagian, Trend Micro : l’amélioration du pilotage de la SSI permet d’améliorer la conformité
- Clément Longépé, Make IT Safe : La cybersécurité et la conformité constituent de réels enjeux business
- Lucie Loos, Nameshield : Il est crucial de rappeler que le nom de domaine est la porte d’entrée sur le web
- Ghaleb Zekri, VMware France : le bien-être des salariés est une priorité que les RSSI devront prendre en considération
- Benoit Grunemwald, ESET : La connaissance de la menace et des acteurs malveillants est cruciale dans l’établissement de sa stratégie de défense et d’investissement
- Olivier Mélis, Checkmarx : Il est nécessaire d’inclure la sécurité très en amont du processus de développement, automatiser les contrôles tout au long du cycle
- Arnaud Le Hung, BlackBerry : Les entreprises de sécuriser aussi les appareils considérées comme étant « hors de leur portée immédiate »
- Bernard Debauche, Systancia : La cybersécurité est une affaire globale de la gouvernance, aux risques, jusqu’aux les processus et outils
- Loïc Guézo, Proofpoint : La communication entre les RSSI et le conseil d’administration doit être plus que jamais mise en avant
- Jérôme Notin, www.cybermalveilance.fr : N’hésitez pas à faire parler de www.cybermalveillance.fr autour de vous, dans votre entourage tant professionnel que personnel !
- Daniel Benabou et Daniel Rezlan IDECSI : Notre promesse est de fournir une offre globale sur la sécurité des données
- Jean-Pierre Barré, WALLIX : Aujourd’hui, le PAM n’est pas un luxe, ou une option, c’est un prérequis
- Boris Lecoeur, Cloudflare : Nous souhaitons fournir aux RSSI une solution de cybersécurité tellement simple à implémenter et efficace face aux menaces, qu’elle s’en fait oublier
- Grégory Mauguin, SysDream : L’essence même de la SSI consiste à faire reposer la stratégie cyber sur une analyse de risques
- Dagobert Levy, TANIUM : Les RSSI doivent passer de l’image du blocker à celui d’enabler !
- Eric Fries, Allentis : Devant la complexité des menaces, les RSSI doivent gérer leurs priorités dans le bon ordre
- Olivier Morel, Inetum Software– Cybersecurity Solutions : Nous constatons une prise de conscience de la nécessité de protéger les identités et les accès sur le terrain
- Bernard Montel, Tenable : les entreprises doivent avoir une approche proactive, une hygiène cyber pour réduire le risque
- Nicolas Groh, Rubrik : le stockage est devenu le point central de l’entreprise et fédère les différentes fonctions de l’entreprise
- Frédéric Grelot, GLIMPS : Nous proposons une « eXtended Malware Analysis Platform » pour accompagner les RSSI dans leur stratégie de rationalisation des produits de cybersécurité
- Thiébaut Meyer, Google Cloud : Ne considérez le cloud public comme un risque mais comme une véritable opportunité pour la stratégie de cybersécurité
- Sumedh Thakar President et CEO de Qualys : Nous aidons les organisations à gérer les risques cyber, grâce à une plateforme unifiée qui permet de les mesurer, prioriser, et les contrer
- Xavier Mathis, Okta France : les RSSI doivent poursuivre leurs efforts de sensibilisation des COMEX aux problématiques de sécurité
- Les Assises 2022 : Pleins feux sur la Cyber assurance !