Hervé Rousseau, Openminded : « Pragmatisme », le maître mot d’une bonne gestion et gouvernance des identités
octobre 2019 par Emmanuelle Lamandé
Le virage vers le Cloud et l’agilité est aujourd’hui une évidence pour bon nombre d’entreprises. Toutefois, cette transformation ne peut se faire sans une évolution de leurs approches sécurité, ainsi qu’une bonne gestion et gouvernance des identités. Pour Hervé Rousseau, Président d’Openminded, qui sera présent lors des Assises de la Sécurité, cela nécessite aussi une bonne dose de « Pragmatisme ».
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Hervé Rousseau : Le virage vers le Cloud et l’agilité est aujourd’hui une évidence pour une écrasante majorité des entreprises. La prise en compte de la sécurité dans cette transformation est certes identifiée, mais au-delà du besoin sa couverture est beaucoup moins évidente. En effet, les choix stratégiques qui peuvent être faits sur un « mouvement Cloud » drainent dans leur sillage de nombreuses thématiques que l’on savait couvrir convenablement avec des solutions de sécurité historiques… mais les paradigmes changent et la réponse apportée se doit également d’évoluer. Les infrastructures ne doivent plus être gérées de la même manière, la sécurité ne peut plus retarder la mise en œuvre des projets : pour cela la posture sécurité doit évoluer avec une approche « Cloud Enabler » qui implique une refonte des solutions d’infrastructure, de gestion, de pilotage, de surveillance sécurité, mais également une gestion des identités efficace… c’est notamment cette approche que nous allons présenter, avec également comme chaque année nos dernières actualités, offres et retours d’expérience.
GS Mag : Quel sera le thème de votre conférence cette année ?
Hervé Rousseau : Nous parlerons justement gestion et gouvernance des identités avec un maître mot : Pragmatisme. Pour cela, nous aurons le plaisir d’animer cet atelier avec deux clients qui partageront leurs retours d’expérience sur le sujet. Nous avons, en effet, trop souvent entendu des clients se plaindre de projets de gestion des identités enlisés, voire abandonnés, alors que cette thématique est clairement centrale pour répondre aux nouveaux enjeux d’agilité attendus par les métiers. L’approche que nous défendons avec conviction permet d’obtenir des résultats tangibles et de (re)construire une gestion des identités efficace.
GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2019 ?
Hervé Rousseau : Notre CERT a eu l’opportunité d’intervenir sur une réponse à incident pour l’un de nos clients impliquant le Malware DNSPIONAGE. Lors de cette investigation, nos analystes ont pu compléter la connaissance autour de ce malware et identifier le vecteur d’infection avec plus de précisions. Sans rentrer dans les détails de ce Malware et de l’attaque, qui sont disponibles sur le site du CERT Openminded et de Cisco Talos avec qui nous avons collaboré, il est intéressant de constater que les cas d’APT ne sont plus « marginaux ». On a pendant plusieurs années raillé (souvent à raison) les communications anxiogènes sur la complexité des menaces et le fait que le terme APT était devenu un terme plus marketing que technique… mais aujourd’hui les dispositifs de défense contre les menaces avancées ne sont clairement plus un luxe. Ils doivent bien entendu s’intégrer dans un dispositif complet de réduction des risques, mais l’évolution de la menace vers une sophistication croissance est nette.
GS Mag : Quid des besoins des entreprises ?
Hervé Rousseau : Qu’il s’agisse de problématiques « fonctionnelles » (gouvernance, gestion des identités, conformité…) ou techniques (Sécurité du et dans le Cloud, protection des infrastructures et terminaux, surveillance sécurité…), les besoins sont selon nous plus nombreux que ce que le marché est aujourd’hui en capacité d’absorber. Nous constatons une demande croissante pour des profils capables d’aider les entreprises à porter les thématiques sécurité dans le cadre des transformations d’entreprise, avec tous les sous-jacents que cela implique. Pour ce qui nous concerne, nous les adressons aussi bien en délégation qu’au travers de prestations en mode forfait ou en centre de services, mais l’enjeu de la capacité est un challenge du quotidien.
GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?
Hervé Rousseau : Comme beaucoup de spécialistes de la cybersécurité, nous souffrons du manque de compétences disponibles sur le marché. Nous formons tout au long de l’année nos ressources, contribuons fortement au développement des compétences par l’apprentissage au sein de nos services, mais c’est malheureusement insuffisant pour répondre à l’intégralité des besoins de nos clients. Certaines technologies ou disciplines sont aujourd’hui en souffrance partout comme la sécurité du Cloud, en raison de la complexité du sujet couplée à une offre de formation limitée et des retours d’expérience encore trop peu nombreux… Nous souhaitons ainsi renforcer encore le développement des compétences au sein d’Openminded et au-delà, et allons investir fortement sur cette thématique dans les années à venir pour être capables d’adresser avec une capacité plus importante les enjeux actuels de la cybersécurité.
GS Mag : La sécurité et la privacy « by design » sont devenues incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?
Hervé Rousseau : C’est en effet un concept que le marché a adopté depuis de très nombreuses années, mais qui a parfois du mal à s’imposer dans la complexité des organisations des entreprises. En effet, comme le disait une RSSI avec qui j’échangeais il y a quelques mois, c’est souvent beaucoup plus souvent facile à dire qu’à faire et à mettre en œuvre ! Tout le monde est convaincu, encore faut-il s’insérer habillement dans la transformation de l’entreprise pour arriver à l’adresser efficacement et durablement. C’est pour cette raison que nous proposons d’accompagner nos clients (RSSI, CTO…) autant sur le fond (la réponse technique) que sur l’approche à adopter. Pour prendre un exemple, notre offre de sécurité applicative a comme pilier la sécurité des développements : à quoi bon commanditer un test d’intrusion qui sera le « couperet » pour savoir si l’application est autorisée à entrer en production si aucune sécurité des développements complétée d’une bonne gestion des vulnérabilités n’a été mise en œuvre en amont ? Données chiffrées et retours d’expérience à l’appui, nous partageons avec nos clients la matière pour justifier du retour sur investissement de l’approche de sécurité & privacy by design, et ce sur l’ensemble de nos offres.
GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?
Hervé Rousseau : La plupart des professionnels du métier le savent bien : ils doivent convaincre jusqu’au plus haut niveau de leurs organisations. Qu’il s’agisse de la sécurité « by design » ou de la limitation des risques, ils ne peuvent pas être les seuls acteurs du changement. Ils ont pour une grande majorité une bonne connaissance des risques et doivent maintenant faire en sorte qu’ils soient compris par l’ensemble des parties prenantes et que toute l’entreprise soit engagée dans leur limitation. Ils doivent également obtenir l’adhésion de l’exécutif afin d’avoir les moyens d’accomplir leur mission. Pour cela, ils doivent pouvoir attendre de leurs partenaires qu’ils les accompagnent dans la valorisation des enjeux, en capitalisant par exemple sur des retours d’expérience comme nous le faisons chez Openminded.
GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?
Hervé Rousseau : Les Assises de la sécurité ont su s’imposer comme un rendez-vous incontournable pour échanger avec ses pairs, ainsi qu’avec de potentiels partenaires : c’est un atout formidable que la plupart mettent à profit intensément pendant ces trois jours. Mais au-delà de l’émotion du moment, il arrive un peu trop souvent que le soufflet retombe et que la volonté de construction se fasse absorber par le quotidien et l’opérationnel. Comme le font de plus en plus de RSSI aguerris, choisissez vos batailles et venez partager vos succès l’année prochaine !
Articles connexes:
- Christophe Baron, Itrust : Les SOC à base d’IA permettent de renforcer le niveau de sécurité des organisations
- Fabien Miquet, Siemens Digital Industries : Le centre de gravité de la cybersécurité industrielle est à l’intersection des mondes de l’entreprise
- Laurent Cayatte et Nicolas Verdier, Metsys : la meilleure stratégie financière est de favoriser l’investissement dans la cybersécurité en amont des projets
- Ramyan SELVAM, Juniper Networks : SD-WAN, la sécurité doit être prise en compte dès la genèse des projets
- Jacques de La Rivière, Gatewatcher : Le concept de SOAR est un enjeu majeur pour les entreprises
- Marc Behar, CEO d’XMCO : l’anticipation des menaces passe par du pentest et du déploiement d’outils de cyber-surveillance
- Nurfedin Zejnulahi, Trend Micro : les entreprises doivent détecter les menaces pour y réagir rapidement
- Christian Guyon, Forcepoint : la clé de la cybersécurité moderne repose sur la compréhension du comportement
- Patrice Puichaud, SentinelOne : Nous offrons optimisation, visibilité et protection sur les SI pour un petit budget
- Stéphane Dahan, CEO de Securiview : Back to basic !
- Alexis Bouchauveau, Skybox Security : les RSSI doivent considérer la cybersécurité comme un levier commercial
- Christophe Grangeon, DG d’USERCUBE : Les RSSI ne doivent plus hésiter à faire basculer leurs projets IAM / IAG en mode SaaS
- Philippe Rondel, Check Point Software Technologies : Diminuer la surface de risque est insuffisant, il faut aussi déployer des systèmes de protection
- Bogdan Botezatu, Bitdefender : la cybersécurité est un sport d’équipe avec des règles pour protéger l’entreprise
- Guillaume Masse, Rapid7 : les RSSI doivent développer leur approche de la cybersécurité par les risques pour mieux convaincre les métiers et les directions
- Antoine Coutant, Synétis : Anticiper les menaces, c’est empêcher qu’elles ne se produisent
- Lookout : Les risques mobiles doivent être pris en compte
- Benjamin Leroux, Advens : Concentrez-vous sur les travaux à valeur ajoutée et laissez Advens s’occuper du reste !
- Arnaud Lemaire, F5 : Penchez vous sur l’orchestration de la sécurité
- Xavier Lefaucheux, WALLIX : Nous accompagnons les RSSI dans leur futur numérique sécurisé
- Christophe Auberger, Fortinet : Il faut sortir d’une approche de la sécurité en silo
- Théodore-Michel Vrangos, I-TRACING : Nous sommes présents auprès des RSSI pour leur apporter toute notre expertise
- Pour les Assises, Brainwave met de l’intelligence (artificielle) dans les revues de comptes
- Emmanuel Meriot, Darktrace : Antigena protège le parc numérique jour et nuit, week-end et jours fériés
- Jean-Dominique Quien, inWebo : la sécurisation des accès est un sujet trop sensible pour être confié à des acteurs qui n’y ont pensé qu’après coup
- Pierre-Yves Pophin et Christophe Jourdet, NTT Ltd. France : tous les départements d’une entreprise sont concernés par les risques potentiels liés à la numérisation
- Eric Haddad, Google Cloud : nous mettons notre priorité sur la security-by-design et de privacy-by-design
- Julien Tarnowski, Forescout Technologies : Notre plateforme apporte visibilité et contrôle du réseau
- Eric Dehais, Oppida : la sécurité est l’affaire de tous et ne doit pas seulement reposer sur les épaules d’un RSSI
- Arnaud Pilon, IMS Networks : la protection de la donnée qu’elle soit personnelle ou non est inscrite depuis longtemps dans notre ADN
- William Culbert, BeyondTrust : les solutions d’hier ne sont pas toutes les solutions de demain
- Ghaleb Zekri, VMware : il faut encourager une culture de sensibilisation et de collaboration entre les métiers et les équipes de sécurité
- Christophe Jolly, Vectra : l’automatisation est un des éléments clés pour anticiper les défis du recrutement et de fidélisation des collaborateurs
- Fabien Corrard, Gfi Informatique : Exploitez vos logs pour améliorer votre posture sécurité
- Frédéric Julhes, Airbus CyberSecurity France : les entreprises doivent développer une approche globale de la sécurité
- Philippe Courtot, Qualys : la gratuité contribue à faire évoluer la sécurité dans la société
- Julien Chamonal, Varonis : détecter les accès illégitimes aux données est la clé de voûte de la sécurité
- Aurélien Debièvre, Citalid Cybersécurité : « Construisons ensemble votre stratégie de gestion du risque cyber ! »
- Nicolas Petroussenko, Okta : connectez les bonnes personnes aux bonnes technologies au bon moment
- Renaud Templier, Devoteam : la transformation numérique nécessite de repenser son approche sécurité
- Paul Bayle, Atos : comment suivre le niveau de sécurité global de son SI ?
- Gérôme Billois, Wavestone : RSSI, profitez de cette prise de conscience pour vous rapprocher du métier
- Arnaud Gallut, Ping Identity : Nous souhaitons offrir l’expérience client la plus simple, fluide et sécurisée possible
- Faycal Mouhieddine, CISCO : la stratégie « Zero Trust » répond aux enjeux du paysage informatique
- Dagobert Levy, Tanium : Il est vital de savoir ce que l’on doit protéger !
- Didier Guyomarc’h, Zscaler Les RSSI doivent mettre en place les processus élémentaires en matière d’hygiène de sécurité et de contrôle d’accès
- Gilles Castéran, Accenture Security France : les entreprises doivent construire une culture de la sécurité pour se protéger collectivement et individuellement
- Alexandre Delcayre, Palo Alto Networks : la priorité des RSSI doit être d’optimiser et d’automatiser les opérations autour de la cybersécurité
- Bernard Debauche, Systancia : des solutions concrètes existent pour permettre de mieux maitriser l’accès de tiers aux ressources IT critiques de leur SI
- Daniel Benabou et Daniel Rezlan IDECSI : les RSSI ne doivent pas avoir peur du changement, ni de responsabiliser l’utilisateur dans leur approche de la cybersécurité
- Alexandre Souillé, Olfeo : Optez pour une solution dédiée telle que le Proxy d’entreprise, c’est la garantie d’une protection optimale contre les cybermenaces !
- Laurent Theringaud, Ercom : la gamme de produits d’Ercom fournit des solutions pour les DSI, validées par les RSSI
- David Grout, FireEye : il est important de pouvoir s’évaluer de manière factuelle, régulière et répétitive pour comprendre et maitriser son risque
- Guillaume Gamelin, F-Secure : La cybersécurité évolue très rapidement mais notre expérience de plus de 30 ans peut faire la différence chez vous !
- Jean-Benoît Nonque, Ivanti : En matière de cybersécurité les entreprises doivent « penser automatisation »
- Jean-Michel Tavernier, MobileIron : la réduction des cyber-risques passe par la sensibilisation et les outils techniques
- Eric Fries, ALLENTIS : « Simplifier la mise en conformité avec la LPM »
- Fabrice Clerc, de 6Cure : la lutte contre les cybermenaces passe par une posture collaborative entre éditeurs
- Fabrice Bérose, Ilex International : Travailler avec Ilex, c’est privilégier une relation individualisée basée sur l’agilité, la réactivité et l’adaptabilité
- Ronan David, EfficientIP : il faut remettre en cause en permanence les solutions établies et les processus
- Jérôme Chagnoux, Oracle France : la meilleure façon de limiter les risques est de ne pas freiner l’adoption des nouvelles technologies
- Coralie Héritier, IDnomic : il faut transcender le seul objectif de protection, et proposer au marché des solutions de cybersécurité véritablement créatrices de valeur ajoutée
- Chardy Ndiki, Contrast Security : il est important de moderniser vos outils de sécurité applicatives
- Ludovic de Carcouët, CEO de DIGITEMIS les dirigeants attendent des RSSI des propositions concrètes et une vision rassurante
- Francois Delepine Venafi : Le défi de la cybersécurité est de taille et nécessite des outils et 3 principes : visibilité, intelligence et automatisation
- Nabil Bousselham, Veracode : Les RSSI doivent adopter une approche proactive en utilisant des outils modernes et de l’automatisation
- Kevin POLIZZI, Jaguar Network : La maîtrise de la sécurité des applications est un enjeu majeur pour toute entreprise
- Joël Mollo, CrowdStrike : Avoir un regard nouveau sur sa sécurité est devenu primordial
- Van Vliet, Digital Guardian : les outils tout en un peuvent simplifier le travail des équipes sécurité
- Bruno Leclerc, Sophos : à chaque entreprise son accompagnement
- Philippe Corneloup, Centrify : il est primordial de mettre en place une sécurité de « Zero trust Privilege »