Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Hervé Rousseau, CEO d’Openminded : le FIC est l’occasion d’échanges fructueux avec l’écosystème de la cybersécurité

janvier 2019 par Marc Jacob

Lors du FIC 2019, Openminded mettra en avant son offre de sécurité Cloud qui regroupe les infrastructures pour les Clouds privés et hybrides, l’audit, le contrôle et la supervision pour la partie publique. Hervé Rousseau, CEO d’Openminded estime que le FIC est l’occasion d’échanges fructueux avec l’écosystème de la cybersécurité.

Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?

Hervé Rousseau : Parmi les actualités d’Openminded en ce début d’année, nous mettrons en avant la sécurité Cloud qui devient une thématique de plus en plus forte chez nos clients. Elle regroupe en réalité plusieurs problématiques : la partie infrastructures pour les Clouds privés et hybrides, la partie audit, contrôle et supervision pour la partie publique. Sur les Cloud privés ou hybrides nous allons de la “reconstruction” de briques de sécurité traditionnelles (LoadBalancing ou WAF typiquement) sur laquelle nous travaillons par exemple avec AVInetworks, à la gestion de la sécurité des containers ou des applications natives Cloud avec AquaSecurity, en passant par la sécurisation des flux internes que nous proposons aujourd’hui avec Guardicore. Ces sujets sont encore émergents mais les échanges avec nos clients ces derniers mois montrent qu’ils vont devenir une réalité opérationnelle très rapidement. Sur la sécurisation des Clouds publics, le sujet est déjà plus mature et nous avons réalisé plusieurs déploiements de CASB ces dernières années (notamment avec Netskope), principalement sur le volet SAAS et nous étendons désormais la couverture à la partie IAAS.

GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?

Hervé Rousseau : Effectivement la question aujourd’hui ne se pose plus de savoir si on doit intégrer les principes du Security & Privacy by design, selon nous ce qui vient au premier plan c’est de savoir comment le faire efficacement. S’il est difficile d’être exhaustif sur la question tant les défis sont nombreux, on peut tout de même dégager quelques tendances.

En effet, on constate encore trop souvent que la sécurité n’est pas suffisamment bien intégrée dans de nombreux systèmes. L’exemple de l’IoT qui est en pleine expansion est révélateur de ces difficultés. Les fabricants peinent encore à améliorer la sécurité de leurs plateformes, en particulier pour les raisons que vous évoquez comme étant les défis à relever. La composante humaine et psychologique occupe une place centrale. Même si les équipes qui conçoivent ces objets sont clairement “informées” de la nécessité d’intégrer les sujets de sécurité et de privacy en amont, elles considèrent en majorité que cela va les retarder dans leur accès au marché, et qu’elles pourront toujours intégrer cette problématique dans un autre cycle de développement. Enfin, dans les rares cas où elles ont conscience des enjeux, ces équipes manquent trop souvent de compétences en cybersécurité et d’accompagnement d’experts.
Le plan technique et financier n’est pas en reste : on doit pouvoir s’assurer que les produits pourront être améliorés et corrigés tout au long de leur cycle de vie. La gestion de la mise au rebut (ou la cession) n’est pas simple non plus, comment être certain que les données collectées et stockées ont bien été supprimées ? Au-delà de la gageure technique, ces contraintes ont par ailleurs un impact financier conséquent qu’il faut savoir amortir.

GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?

Hervé Rousseau : Si nous souhaitons vraiment intégrer ces éléments en amont (by design), il faut lever ces obstacles : ceux liés à l’humain et à la dimension économique par exemple, doivent bien être pris en compte pour proposer des solutions applicables.

Pour nous il convient en premier lieu d’améliorer l’accompagnement sur le plan humain au travers un plan de sensibilisation efficace et adapté. D’abord cela permet de déclencher une prise de conscience des risques, ensuite cela facilite l’adhésion des équipes sur les questions de cybersécurité. Ceci doit s’accompagner d’actions de formation ciblées et d’accompagnement d’expertise externe lorsque cela est nécessaire.

Pour compléter cet axe, nous pensons aussi qu’il faut agir de manière pragmatique. Ainsi, nous recommandons de privilégier la simplicité dans l’élaboration des architectures techniques et logicielles, mais aussi de capitaliser autant que possible sur des méthodes et des solutions éprouvées par la communauté et qui ont fait preuve de leur robustesse.

Enfin, avec un paysage des menaces particulièrement mouvant, aucune mesure de sécurité n’est infaillible sur la durée. Il convient donc de s’assurer que les nouveaux systèmes soient conçus pour permettre leur évolution, ce qui d’emblée suppose de pouvoir limiter toute vulnérabilité matérielle.

GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?

Hervé Rousseau : Le moins que l’on puisse dire, c’est que le RGPD a provoqué l’électrochoc attendu… toutes les entreprises avec lesquelles nous travaillons ou même échangeons ont pris des mesures pour couvrir au mieux ce changement de réglementation. Concrètement, cela a permis de formaliser une démarche, aux entités métiers de progresser sur les notions de privacy, de mettre en visibilité le sujet : que de belles vertus et clairement on peut dire que les entreprises ont beaucoup progressé ! Toutes n’ont bien sûr par couvert le sujet avec le même engagement ni le même objectif, mais dans l’ensemble, les entreprises ont plutôt bien avancé sur leur mise en conformité. Etant dans la cybersécurité depuis de nombreuses années, nous regrettons qu’il ait été nécessaire qu’une loi très contraignante soit nécessaire pour que les entreprises se penchent sur ces sujets critiques que le RSSI s’époumonait à essayer de porter au bon niveau de décision. Si l’on voit le verre à moitié plein, on retiendra qu’entre le RGPD, la médiatisation des incidents de sécurité et les montants déclarés par les entreprises victimes, il n’y a plus aucun Comex qui ignore la cybersécurité aujourd’hui…

GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?

Hervé Rousseau :Il faut selon nous distinguer ce qui se passera réellement en 2019, et ce dont on parlera en 2019 : les derniers cas les plus médiatisés révèlent des incidents qui ont pour la plupart plusieurs années, et qui sont découverts (ou déclarés par obligation) bien après… avec l’amélioration des systèmes de détection et la réglementation qui se renforce (dont le RGPD évidemment), il est probable que de nombreux incidents de sécurité soient révélés sans lien évident avec une évolution particulière des techniques d’attaques. Sur les entreprises que nous accompagnons, nous constatons par contre une motivation et une professionnalisation croissante des “adversaires” : les attaques sont de plus en plus élaborées, ciblées, et exploitent simultanément des vulnérabilités techniques et organisationnelles. L’économie du Hacking se structure, certains groupes s’étant spécialisés dans la revente d’identifiants ou de ransomwares par exemple, d’autres se focalisant sur leur exploitation dans un contexte donné, avec des cibles précises et bien choisies. C’est d’ailleurs pour s’y préparer que l’on parle de tests “red team” ou encore d’”adversary simulation” mais ces techniques que nous proposons ne sont encore que peu sollicitées par les clients. Pour parler un peu plus des cibles, Il y a fort à parier que les attaques en lien avec l’IOT soient de plus en plus présentes en 2019 en raison de la pauvreté du Security by design que l’on évoquait précédemment. Les particuliers seront également des cibles privilégiées, en particulier au travers des phénomènes de chantages massifs basés sur les leaks majeurs de ces dernières années. Quelque soit la cible et la façon dont elle se protège, l’IA devrait logiquement jouer un rôle majeur ces prochaines années : exploitée avec de mauvaises intentions, elle permettra aux attaquants d’étendre à grande échelle ce qu’ils font aujourd’hui à plus petite et de façon semi-automatisée… mais la défense ne devrait pas être en reste avec une exploitation du potentiel de l’IA par les solutions du marché. On retrouve ainsi de plus en plus de solutions de sondes, de protection du poste, de Threat Intelligence qui se basent aujourd’hui principalement sur du machine learning et qui permettent d’améliorer l’efficacité des systèmes de protection et des équipes de défense.

GS Mag : Quel est votre message à nos lecteurs ?

Hervé Rousseau : Le FIC a énormément évolué ces dernières années et, est passé d’un évènement très orienté “public/défense” à un salon très ouvert puisque tout professionnel de la sécurité peut s’inscrire gratuitement. Cela nous permet d’échanger avec plus de partenaires, de potentiels clients, des étudiants et finalement avec tout l’écosystème cybersécurité. C’est pourquoi nous invitons les lecteurs de GSMag à venir nous rencontrer directement sur place (Stand D.20) afin d’échanger sur les sujets évoqués précédemment.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants