Hervé Ysnel, CGI Business Consulting : Le « secure by design » doit suivre des règles et des process solides et supportés par des solutions de sécurité
octobre 2021 par Marc Jacob
CGI participera une nouvelles fois aux Assises de la Sécurité afin d’y présenter cette année ses différentes offres et s savoir-faire par l’intermédiaire d’Ateliers. Ce sera aussi l’occasion d’échanger avec les visiteurs focus sur les obligations, la réglementation, notamment Schrems II. Pour Hervé Ysnel, Vice-président en charge des activités conseil sécurité, risque & continuité d’activité de CGI Business Consulting le « secure by design » ne peut se créer qu’avec des règles et des process solides, éprouvés et supportés par des solutions de sécurité.
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Hervé Ysnel : CGI est présente aux Assises de la Sécurité depuis plusieurs années.
Cette année nous y présentons nos différentes offres et nos savoir-faire par l’intermédiaire d’Ateliers. Nous intervenons, en complément de notre conférence habituelle, sur un atelier lié au référentiel MITRE. Ce sera aussi l’occasion d’échanger avec nos clients sur des savoir–faire précis correspondant à leurs attentes avec un focus sur les obligations, la réglementation, notamment Schrems II.
GS Mag : Quel sera le thème de votre conférence cette année ?
Hervé Ysnel : Nous animerons avec notre client le ministère de l’Intérieur, un atelier autour de la thématique : Déploiement d’EBIOS Risk Manager au ministère de l’Intérieur : les bénéfices et écueils opérationnels à éviter.
Le ministère a décidé début 2020 de généraliser l’utilisation de la méthode EBIOS RM pour les analyses de risque de tous ses SI. Comment cette évolution s’est-elle opérée ? Quels enseignements ont été tirés des difficultés opérationnelles rencontrées par les projets et la filière SSI ? Quels ont été les compléments apportés au guide, publié par l’ANSSI, pour gérer ce changement ? Quels ont été les bénéfices de la conduite de ces analyses pour les projets après plus d’1 an ?
GS Mag : Quels sont les besoins des entreprises en matière de cybersécurité ?
Hervé Ysnel : La recherche de solutions plus souples en mode service est sûrement l’une des principales attentes que nous avons pu recueillir auprès de nos clients ces derniers temps, en particulier la recherche de solutions liées à l’usage d’EDR qui monte en flèche et au PAM qui a atteint une certaine maturité. Des nouveaux sujets de réflexion commencent aussi à surgir autour du Zerotrust ou le renouveau de solutions de sécurité en Cloud Native.
GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?
Hervé Ysnel : L’offre de CGI en matière de cyber sécurité a beaucoup évolué au fil du temps.
Nous passons de l’offre « pure conseil » d’il y a quelques années, à une capacité de bout en bout avec des services de sécurité qui se montent au fur à mesure en France. De plus, nous pouvons nous appuyer sur les capacités des 1500 experts cyber sécurité de CGI partout dans le monde.
GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournable aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?
Hervé Ysnel : Nous formons et sensibilisons régulièrement nos collaborateurs aux nouveaux risques induits par le télétravail avec notamment des e-learning ou des tests de phishing.
Nos offres aussi se sont adaptées au contexte. Il s’est agi par exemple de fournir de la capacité de réseau sécurisé à certains de nos clients qui étaient dans l’incapacité de faire face à un changement de modèle si brutal. Sur le plus moyen terme, nous travaillons avec nos clients pour compléter ou tester leurs plans de continuité d’activité.
GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?
Hervé Ysnel : La première étape est sûrement celle de la connaissance. Connaitre et mener un vrai travail complet et continu de réévaluation de ses risques est plus que jamais indispensable, force est de constater que, trop souvent, les efforts se concentrent uniquement sur les projets de sécurisation. Ensuite il s’agit d’être très très proche des plans d’évolution de son organisation, de sa DSI, de la roadmap digitale par exemple.
GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?
Hervé Ysnel : Un dernier message : Secure by design ! L’effort au commencement est indispensable et permet de limiter l’effort par la suite.
Le « secure by design » ne peut se créer qu’avec des règles et des process solides, éprouvés et supportés par des solutions de sécurité.
Articles connexes:
- Laurent Cayatte, Metsys : les RSSI et DSI ont besoin d’être accompagnés sur les phases d’audit et en gestion de crise
- David Grout, Fireeye Mandiant : Les RSSI doivent capable de se mesurer, de comparer leurs capacités à la menace réelle sur leur activité
- Stéphane Ankaoua, Oodrive : Avant de céder aux sirènes des technologies Il faut s’assurer que les fondamentaux de la sécurité de son organisation sont solides !
- Cyril Gollain, Brainwave : Les technologies d’Identity Analytics pour répondre aux enjeux de cybersécurité de façon transverse
- Laurent Tombois, Bitdefender : La corrélation des événements au-delà des limites d’un seul endpoint est cruciale pour la cyber-résilience
- Giuseppe Brizio, Qualys Technologies SA : La consolidation des solutions verticales permet une analyse exhaustive de la surface d’attaque
- Valentin Jangwa et Nicolas Liard Bitglass : les entreprises doivent adopter un modèle « Zero-Trust » pour limiter les risques
- Théodore-Michel Vrangos, I-TRACING Group : Face aux crises, le RSSI est en première ligne il doit s’entourer d’experts en cybersécurité
- Hervé Liotaud, SailPoint : l’identité doit être au centre de toute stratégie de sécurité
- Olivier Spielmann, Kudelski Security : une préparation et une planification rigoureuses sont primordiales pour aborder une crise
- Thomas Briend, Vade : l’humain, l’ultime rempart pour limiter les risques
- Loïc Guézo, Proofpoint : la formation régulière, pierre angulaire d’une défense réussie
- Fabrice Clerc, C.E.O. de 6cure : Face aux cybercriminels, la disponibilité est désormais un enjeu majeur !
- Daniel Rezlan et Daniel Benabou, IDECSI : impliquez vos collaborateurs dans la protection de leurs données
- Rémi Fournier, DG de SYNETIS : Il est indispensable de travailler avec l’ensemble des collaborateurs pour limiter les cyber-risque
- Benjamin Leroux, Advens : Il faut que les RSSI et les professionnelles de la cybersécurité se protègent du stress important lié à la nature de ce métier
- Jacques de la Rivière, Gatewatcher : Les RSSI souhaitent interconnecter tous leurs outils de sécurité pour avoir une réponse globale et rapide
- Philippe Humeau, Président de CrowdSec : Notre approche est que l’on est fort tous ensemble
- Frédéric Grelot, GLIMPS : Les entreprises doivent porter leurs efforts sur la détection, la caractérisation et la réponse à incident
- Maxime Alay-Eddine, Cyberwatch : Les RSSI doivent étudier de près les solutions du groupement Hexatrust
- Blandine Delaporte, SentinelOne : les technologies d’IA et d’analyse comportementale dans les solutions de cybersécurité sont une aide essentielle pour les RSSI
- Nicolas Berchoux, APIXIT : De la sécurité opérationnelle à la sécurité Pro-active
- Nicolas Arpagian, Trend Micro : L’importance des cybermenaces justifie d’investir dans les moyens de détection au plus près des équipements
- Florent Embarek, BlackBerry : Nous encourageons nos clients à penser au-delà des solutions traditionnelles, à réduire la complexité et à limiter le coût de la sécurité
- Olivier Perroquin, inWebo : L’authentification forte est un rempart efficace contre les intrusions
- Gérôme Billois, Wavestone : La professionnalisation de la filière et une gouvernance efficace deviennent des enjeux incontournables
- Frédéric Benichou, Armis : Les entreprises ne doivent pas continuer à ignorer les zones d’ombre des infrastructures
- Ghaleb Zekri, VMware : La course à l’adoption du Cloud a offert aux dirigeants d’entreprises l’occasion de revoir leurs approches en matière de cybersécurité
- Franck Zerbib, Google Cloud : Nous souhaitons favoriser une approche en confiance du cloud
- Roxanne Deslandes, Citalid Cybersécurité : Les RSSI et les acteurs de la filière de l’assurance doivent travailler de concert
- Abdel El Bachtany, Ivanti : Tant que des pirates sophistiqués continueront à attaquer les organisations, nous continuerons à renforcer nos fonctions de sécurité !
- Eric Fries, Allentis : Les équipes de sécurité ont besoin d’accompagnement de tous les instants pour faire face aux contraintes
- Nicolas Groh, Rubrik : Notre plateforme réconcilie les DSI et les RSSI autour de la question de la sécurité et de la sauvegarde des données
- Stéphane Hauray, Tufin Technologies : face au cyber-risques, l’automatisation des process est un must
- Mark Arena, Intel 471 : Le renseignement devrait être le moteur dans un programme de sécurité de l’information
- Boris Lecoeur, Cloudflare France : le RSSI doit réduire ses charges de travail opérationnelles pour se concentrer sur la stratégie de sa cybersécurité
- Dagobert Levy, Tanium : Les équipes informatiques auront une plus grande responsabilité en matière de prévention