Hervé Rousseau, CEO d’Openminded : le FIC est l’occasion d’échanges fructueux avec l’écosystème de la cybersécurité
janvier 2019 par Marc Jacob
Lors du FIC 2019, Openminded mettra en avant son offre de sécurité Cloud qui regroupe les infrastructures pour les Clouds privés et hybrides, l’audit, le contrôle et la supervision pour la partie publique. Hervé Rousseau, CEO d’Openminded estime que le FIC est l’occasion d’échanges fructueux avec l’écosystème de la cybersécurité.
Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?
Hervé Rousseau : Parmi les actualités d’Openminded en ce début d’année, nous mettrons en avant la sécurité Cloud qui devient une thématique de plus en plus forte chez nos clients. Elle regroupe en réalité plusieurs problématiques : la partie infrastructures pour les Clouds privés et hybrides, la partie audit, contrôle et supervision pour la partie publique. Sur les Cloud privés ou hybrides nous allons de la “reconstruction” de briques de sécurité traditionnelles (LoadBalancing ou WAF typiquement) sur laquelle nous travaillons par exemple avec AVInetworks, à la gestion de la sécurité des containers ou des applications natives Cloud avec AquaSecurity, en passant par la sécurisation des flux internes que nous proposons aujourd’hui avec Guardicore. Ces sujets sont encore émergents mais les échanges avec nos clients ces derniers mois montrent qu’ils vont devenir une réalité opérationnelle très rapidement. Sur la sécurisation des Clouds publics, le sujet est déjà plus mature et nous avons réalisé plusieurs déploiements de CASB ces dernières années (notamment avec Netskope), principalement sur le volet SAAS et nous étendons désormais la couverture à la partie IAAS.
GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?
Hervé Rousseau : Effectivement la question aujourd’hui ne se pose plus de savoir si on doit intégrer les principes du Security & Privacy by design, selon nous ce qui vient au premier plan c’est de savoir comment le faire efficacement. S’il est difficile d’être exhaustif sur la question tant les défis sont nombreux, on peut tout de même dégager quelques tendances.
En effet, on constate encore trop souvent que la sécurité n’est pas suffisamment bien intégrée dans de nombreux systèmes. L’exemple de l’IoT qui est en pleine expansion est révélateur de ces difficultés. Les fabricants peinent encore à améliorer la sécurité de leurs plateformes, en particulier pour les raisons que vous évoquez comme étant les défis à relever. La composante humaine et psychologique occupe une place centrale. Même si les équipes qui conçoivent ces objets sont clairement “informées” de la nécessité d’intégrer les sujets de sécurité et de privacy en amont, elles considèrent en majorité que cela va les retarder dans leur accès au marché, et qu’elles pourront toujours intégrer cette problématique dans un autre cycle de développement. Enfin, dans les rares cas où elles ont conscience des enjeux, ces équipes manquent trop souvent de compétences en cybersécurité et d’accompagnement d’experts.
Le plan technique et financier n’est pas en reste : on doit pouvoir s’assurer que les produits pourront être améliorés et corrigés tout au long de leur cycle de vie. La gestion de la mise au rebut (ou la cession) n’est pas simple non plus, comment être certain que les données collectées et stockées ont bien été supprimées ? Au-delà de la gageure technique, ces contraintes ont par ailleurs un impact financier conséquent qu’il faut savoir amortir.
GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?
Hervé Rousseau : Si nous souhaitons vraiment intégrer ces éléments en amont (by design), il faut lever ces obstacles : ceux liés à l’humain et à la dimension économique par exemple, doivent bien être pris en compte pour proposer des solutions applicables.
Pour nous il convient en premier lieu d’améliorer l’accompagnement sur le plan humain au travers un plan de sensibilisation efficace et adapté. D’abord cela permet de déclencher une prise de conscience des risques, ensuite cela facilite l’adhésion des équipes sur les questions de cybersécurité. Ceci doit s’accompagner d’actions de formation ciblées et d’accompagnement d’expertise externe lorsque cela est nécessaire.
Pour compléter cet axe, nous pensons aussi qu’il faut agir de manière pragmatique. Ainsi, nous recommandons de privilégier la simplicité dans l’élaboration des architectures techniques et logicielles, mais aussi de capitaliser autant que possible sur des méthodes et des solutions éprouvées par la communauté et qui ont fait preuve de leur robustesse.
Enfin, avec un paysage des menaces particulièrement mouvant, aucune mesure de sécurité n’est infaillible sur la durée. Il convient donc de s’assurer que les nouveaux systèmes soient conçus pour permettre leur évolution, ce qui d’emblée suppose de pouvoir limiter toute vulnérabilité matérielle.
GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?
Hervé Rousseau : Le moins que l’on puisse dire, c’est que le RGPD a provoqué l’électrochoc attendu… toutes les entreprises avec lesquelles nous travaillons ou même échangeons ont pris des mesures pour couvrir au mieux ce changement de réglementation. Concrètement, cela a permis de formaliser une démarche, aux entités métiers de progresser sur les notions de privacy, de mettre en visibilité le sujet : que de belles vertus et clairement on peut dire que les entreprises ont beaucoup progressé ! Toutes n’ont bien sûr par couvert le sujet avec le même engagement ni le même objectif, mais dans l’ensemble, les entreprises ont plutôt bien avancé sur leur mise en conformité. Etant dans la cybersécurité depuis de nombreuses années, nous regrettons qu’il ait été nécessaire qu’une loi très contraignante soit nécessaire pour que les entreprises se penchent sur ces sujets critiques que le RSSI s’époumonait à essayer de porter au bon niveau de décision. Si l’on voit le verre à moitié plein, on retiendra qu’entre le RGPD, la médiatisation des incidents de sécurité et les montants déclarés par les entreprises victimes, il n’y a plus aucun Comex qui ignore la cybersécurité aujourd’hui…
GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?
Hervé Rousseau :Il faut selon nous distinguer ce qui se passera réellement en 2019, et ce dont on parlera en 2019 : les derniers cas les plus médiatisés révèlent des incidents qui ont pour la plupart plusieurs années, et qui sont découverts (ou déclarés par obligation) bien après… avec l’amélioration des systèmes de détection et la réglementation qui se renforce (dont le RGPD évidemment), il est probable que de nombreux incidents de sécurité soient révélés sans lien évident avec une évolution particulière des techniques d’attaques. Sur les entreprises que nous accompagnons, nous constatons par contre une motivation et une professionnalisation croissante des “adversaires” : les attaques sont de plus en plus élaborées, ciblées, et exploitent simultanément des vulnérabilités techniques et organisationnelles. L’économie du Hacking se structure, certains groupes s’étant spécialisés dans la revente d’identifiants ou de ransomwares par exemple, d’autres se focalisant sur leur exploitation dans un contexte donné, avec des cibles précises et bien choisies. C’est d’ailleurs pour s’y préparer que l’on parle de tests “red team” ou encore d’”adversary simulation” mais ces techniques que nous proposons ne sont encore que peu sollicitées par les clients. Pour parler un peu plus des cibles, Il y a fort à parier que les attaques en lien avec l’IOT soient de plus en plus présentes en 2019 en raison de la pauvreté du Security by design que l’on évoquait précédemment. Les particuliers seront également des cibles privilégiées, en particulier au travers des phénomènes de chantages massifs basés sur les leaks majeurs de ces dernières années. Quelque soit la cible et la façon dont elle se protège, l’IA devrait logiquement jouer un rôle majeur ces prochaines années : exploitée avec de mauvaises intentions, elle permettra aux attaquants d’étendre à grande échelle ce qu’ils font aujourd’hui à plus petite et de façon semi-automatisée… mais la défense ne devrait pas être en reste avec une exploitation du potentiel de l’IA par les solutions du marché. On retrouve ainsi de plus en plus de solutions de sondes, de protection du poste, de Threat Intelligence qui se basent aujourd’hui principalement sur du machine learning et qui permettent d’améliorer l’efficacité des systèmes de protection et des équipes de défense.
GS Mag : Quel est votre message à nos lecteurs ?
Hervé Rousseau : Le FIC a énormément évolué ces dernières années et, est passé d’un évènement très orienté “public/défense” à un salon très ouvert puisque tout professionnel de la sécurité peut s’inscrire gratuitement. Cela nous permet d’échanger avec plus de partenaires, de potentiels clients, des étudiants et finalement avec tout l’écosystème cybersécurité. C’est pourquoi nous invitons les lecteurs de GSMag à venir nous rencontrer directement sur place (Stand D.20) afin d’échanger sur les sujets évoqués précédemment.
Articles connexes:
- Alexandre Souillé, Olfeo : la sécurité du SI dépend de la solidité de son maillon le plus faible
- Yann LE BAIL, CEO de BYSTAMP : Nous rendons infalsifiable un document signé
- Guillaume GAMELIN, F-Secure : avec « Rapid Detection and Response Service », le couple Homme -Machine vous apporte une réelle solution clés en main
- Frans Imbert-Vier, CEO d’UBCOM : la Cyber sécurité doit être intégrée dans les stratégies d’affaires des directions opérationnelles
- Nicolas Speciel, UCOPIA : le RGPD conduit les entreprises à mettre en place une stratégie de la sécurité plus holistique
- Renaud GHIA, TIXEO : Il faut revenir à l’essentiel en optant pour des technologies efficaces et reconnues comme le chiffrement de bout-en-bout
- Benoit Grunemwald, ESET : vers une montée en puissance des cyptomineurs en 2019 ?
- Michel Lanaspèze, SOPHOS : plus que jamais, la sécurité n’est pas une option
- Laurent NOE, OVELIANE : Une bonne hygiène des serveurs est indispensable pour éviter la plupart des attaques
- Jacques de La Rivière & Philippe Gillet de Gatewatcher : Il est nécessaire d’anticiper les menaces
- Stéphane Estevez, Splunk : Il est nécessaire de s’équiper de technologies transversales
- Pascal Desmet, Nomios : Les outils aussi automatiques qu’ils soient, doivent être au service d’experts capables de prendre les bonnes décisions
- Jean-Philippe Kalfon, Secret Double Octopus : il faut éliminez les mots de passe des SI pour sécuriser les accès
- Guillaume Garbey, Varonis : le RGPD a légitimé des projets sécurité qui avaient été repoussés pendant de nombreuses années
- Gérôme Billois, Wavestone : 2019 sera une année de transition forte avec les 3 piliers que sont le cloud, l’agile et les API
- François-Xavier Vincent, Oodrive : La Security & Privacy by Design sont des pratiques assez naturelles chez Oodrive
- Christophe Chaubard-Willm, ASSYSTEM - BU Connect : pour limiter les risques il faut élaborer une démarche pragmatique de maitrise
- David Bizeul, CTO de SEKOIA : Nos solutions de sécurité n’hésitent pas à casser les idées reçues et surtout qui sont agréables à utiliser !
- Théodore-Michel Vrangos, I-TRACING : Les RSSI jouent u rôle clé dans les entreprises
- Vincent Meysonnet, Bitdefender : Nous continuons de travailler sur la détection et la protection avancée face à un paysage des menaces en constante évolution
- Christophe da Fonseca, Paessler AG : la détection des événements inhabituels peuvent aider à repérer des activités frauduleuses
- Pascal Le Digol, WatchGuard Technologies : Le déploiement d’outils de sécurité est un gage pour conserver un coup d’avance sur les cyber-malveillants
- Fabien Corrard, Gfi Informatique : la mise en place d’outils de sécurité permet de répondre aux mesures réglementaires
- Emmanuel Gras, ALSID : La prise de conscience de l’importance de la cybersécurité est effective
- David Grout, FireEye : Pour bien se protéger la formation, l’outillage sont clef mais l’intelligence est décisive
- Alexis Nardone, INQUEST, groupe GM Consultant : il faut entamer le chantier de la cybersécurité par des actions pragmatiques et cohérentes
- Didier Cohen, WALLIX : les entreprises doivent penser « Privacy et Security by Design » !
- Franck Mazeau, Panda Security : Un EDR est aujourd’hui indispensable
- Christophe Auberger, Fortinet : le RGPD est une opportunité et un facteur différenciant
- Sophie Tacchi, IBM France : des compétences cyber à la préparation contre les cyberattaques
- Roland Atoui, et Ayman Khalil, Red Alert Labs : Le déploiement des IoT passe par la sécurité
- Michel Gérard, PDG de Conscio Technologies : Faites de vos collaborateurs le maillon fort de votre défense cyber
- Benoît Mangin, AEROHIVE : N’ayez pas peur de passer aux nouveaux usages et aux nouvelles technologies qui le permettent pour améliorer vos business
- Benjamin Leroux, Advens : Security-as-a-service Factory pour industrialiser vos services de Sécurité clé en main
- Bertin IT accélère sur la mise en conformité LPM et NIS en 2019
- Frédéric Braut, Tech Data : Pour déployer une sécurité efficace, il faut savoir adresser le cloud, l’hybridation des infrastructures, la gestion de la donnée ou encore les flux réseaux
- Coralie Héritier, IDNOMIC : Chacun doit œuvrer pour renforcer la confiance numérique
- Sébastien Gest, Vade Secure : Déjouer le piège au premier regard devient un défi pour l’humain…
- Eric Heddeland, Barracuda Networks : De la réponse aux menaces à la sensibilisation
- Raphael Basset ERCOM : Nos solutions de communications et collaboration réconcilient efficacité, sécurité, confidentialité et souveraineté
- Karl Buffin, Skybox Security : Simplifiez la gestion du Cyber Risk
- Marco Rottigni, Qualys : La transformation numérique et les nouvelles réglementations vont changer le rôle et la place du RSSI
- Arnaud Gallut, Ping Identity : Pensez à sécuriser vos API face à la menace croissante de fuite de données
- Christian Pijoulat, LogPoint : Automatiser les processus de sécurité est une nécessité !
- Briag Monnier, Scassi : La sécurité n’est pas une fonctionnalité ou une option, c’est un processus
- Steve Kremer, Inria : La recherche académique a un rôle majeur à jouer pour aller vers un monde plus sûr
- Kristine Kirchner, inWebo : Il n’y a plus de frein à la généralisation du MFA pour l’intégrer très en amont dans les applications
- Antoine Coutant, Systancia : L’anticipation des menaces passe par le contrôle des accès à privilège
- Matthieu Dierick, F5 : Le déploiement de services applicatifs accroît la capacité des entreprises à prospérer
- Benjamin SCHILZ, Acorus Networks : La protection DDoS ne s’improvise pas !
- Fabrice Clerc, C.E.O. de 6cure : La dématérialisation met tout le monde sur un cyber-champ de bataille