Sophie Tacchi, IBM France : des compétences cyber à la préparation contre les cyberattaques
janvier 2019 par Marc Jacob
Lors du FIC, IBM présentera certains éléments de son offre de cybersécurité. Sophie Tacchi, Executive Security Advisor Security Tiger Team d’IBM Security présente sa stratégie.
Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?
Sophie Tacchi : Nous allons mettre en avant plusieurs points constitutif de notre offre :
• Compétences Cyber : recrutement et formation dans un contexte de pénurie
• Utilisation du Cognitif dans le domaine Cyber
• Evolution de la menace en s’appuyant sur le dernier rapport X-Force
• Comment valoriser les investissements Cyber vis vis des membres du COMEX
• Investissements d’IBM en France dans le domaine de la Cyber avec un focus sur la création du SOC de Lille
• Comment se préparer à une Cyber-Attaque ?
• La collaboration entre les acteurs de la Cyber-Sécurité est clé pour contrer la Cybercriminalité organisée
GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?
Sophie Tacchi : Le « Privacy by Design » pour les nouveaux projets, nécessite la mise en œuvre d’une organisation « Secure by Design » sur la base de pratiques essentielles à appliquer dès que l’on crée un système, une solution, une application qui utilise et manipule des données personnelles.
Adopter cette approche est obligatoire dans le cadre du RGPD, mais nécessite la mise en œuvre d’un projet en soit, avec une organisation adéquate et la conduite du changement auprès des équipes intervenant dans le cycle de vie de développement.
A l’ère de la transformation digitale, du développement agile et du cloud hybride, qui augmente la surface d’attaque des nouveaux projets, cette approche s’impose.
GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?
Sophie Tacchi :Les organisations disposent d’un processus plus ou moins formalisé sur l’approche « Privacy by Design », mais perfectible dans ce nouveau contexte. Il est recommandé de :
1. Mettre en place les 8 pratiques ci-dessous :
– Sensibiliser et former aux enjeux de la « Privacy et Security » les différents acteurs intervenant dans la chaine de développement pour comprendre les concepts et les applications de la Sécurité dans les développements
– Planifier la sécurité et la « privacy » du projet initial et de ses nouvelles versions pour s’assurer que l’ensemble des bonnes pratiques sont appliquées tout au long du projet.
– Evaluer les risques et modéliser la menace en fonction du métier, de la sensibilité des données traitées. Les Concepteurs et développeurs doivent penser comme des Hackeurs.
– Définir les besoins en sécurité et « privacy » : s’assurer que les points de contrôle adéquats pour gérer les sessions et protéger les données sont bien inclus dans les cas d’usage, les spécifications fonctionnelles ; et définir les plans de tests Sécurité.
– Coder sans vulnérabilités : les développeurs devront s’assurer que le code et les configurations sont appropriés pour protéger les données en fonction de la Politique de Sécurité.
– Tester la sécurité à base de pentests et d’utilisation d’outils de Scan de vulnérabilités pour s’assurer que le chemin d’accès aux données personnelles via le système respecte bien les politiques de sécurité, pour tout ce qui a été développé en interne mais aussi acheté à des tiers (applicatifs et éléments d’infrastructure).
– Documenter la Sécurité du projet : pour permettre aux développeurs de maintenir les exigences sur l’ensemble des versions d’une part, et d’autre part, communiquer aux équipes d’implémentation et d’administration les paramètres de sécurité.
– Répondre aux incidents de sécurité pour prendre en compte les vulnérabilités, les analyser, préparer les correctifs, communiquer et distribuer les patchs.
2. Instrumenter ces pratiques permet aux organisations moyennes et grandes, de gagner en efficacité dans l’application auditable du « Privacy by Design ».
3. Se faire aider dans cette approche en termes de processus, de compétence et d’outillage.
GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?
Sophie Tacchi : Les organisations concernées par le RGPD ont ouvert le chantier avec un degré variable de mise en conformité. La machine est lancée, mais les efforts nécessaires sont importants donc prendront du temps car ils nécessitent une approche structurellement différente de la gestion de protection de la donnée personnelle.
Les organisations ayant notifié à la CNIL une violation de données à caractère personnel, ont mis en place en priorité un processus de Reponse à incidents pour pouvoir collecter les preuves, et monter le dossier dans le 72 heures. En parallèle, en 2018, une grande majorité de consommateurs ont été sensibilisés à cette problématique souvent après la réception d’un courriel les informant de la violation au RGDP, ou connaissent quelqu’un qui l’a été ! La confiance envers les vendeurs de biens et services marchands est en train de changer, elle prend en compte la propension à protéger leurs données personnelles. En espérant que cela soit un facteur d’accélération du processus de mise en conformité.
GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?
Sophie Tacchi : Au niveau des attaques, l’Internet des Objets semble être un domaine où les risques sont les plus importants. Ils sont massivement utilisés dans les entreprises et le grand public, utilisent les nouvelles technologies (objets communicants, clouds, réseaux mobiles, wifi, 5G demain) qui ont peu été conçus « Secure/Privacy by Design ».
Les organisations criminelles ont les moyens et les compétences pour améliorer leurs vecteurs d’attaques et déjouer les mécanismes de prévention mis en place pour voler de la donnée ou frauder.
En réponse aux attaques, les organisations renforcent l’approche préventive de gestion de la sécurité pour protéger leur SI éclaté des menaces connues. Les menaces inconnues sont détectées en temps réel grâce à la corrélation des logs, des événements et des flux, l’Intelligence Artificielle, l’analyse comportementale et le Machine Learning. Disposer de tous les éléments de preuve dans les minutes ou heures qui suivent pour qualifier les incidents en provenance de l’interne et l’externe. Et s’organiser pour orchestrer avec efficacité la réponse aux incidents dans le respect des réglementations en vigueur, et démontrer la conformité.
GS Mag : Quel est votre message à nos lecteurs ?
Sophie Tacchi : Venez nous voir sur notre stand et participer à nos ateliers/démos.
Articles connexes:
- Alexandre Souillé, Olfeo : la sécurité du SI dépend de la solidité de son maillon le plus faible
- Yann LE BAIL, CEO de BYSTAMP : Nous rendons infalsifiable un document signé
- Guillaume GAMELIN, F-Secure : avec « Rapid Detection and Response Service », le couple Homme -Machine vous apporte une réelle solution clés en main
- Frans Imbert-Vier, CEO d’UBCOM : la Cyber sécurité doit être intégrée dans les stratégies d’affaires des directions opérationnelles
- Nicolas Speciel, UCOPIA : le RGPD conduit les entreprises à mettre en place une stratégie de la sécurité plus holistique
- Renaud GHIA, TIXEO : Il faut revenir à l’essentiel en optant pour des technologies efficaces et reconnues comme le chiffrement de bout-en-bout
- Benoit Grunemwald, ESET : vers une montée en puissance des cyptomineurs en 2019 ?
- Michel Lanaspèze, SOPHOS : plus que jamais, la sécurité n’est pas une option
- Laurent NOE, OVELIANE : Une bonne hygiène des serveurs est indispensable pour éviter la plupart des attaques
- Jacques de La Rivière & Philippe Gillet de Gatewatcher : Il est nécessaire d’anticiper les menaces
- Stéphane Estevez, Splunk : Il est nécessaire de s’équiper de technologies transversales
- Pascal Desmet, Nomios : Les outils aussi automatiques qu’ils soient, doivent être au service d’experts capables de prendre les bonnes décisions
- Jean-Philippe Kalfon, Secret Double Octopus : il faut éliminez les mots de passe des SI pour sécuriser les accès
- Guillaume Garbey, Varonis : le RGPD a légitimé des projets sécurité qui avaient été repoussés pendant de nombreuses années
- Gérôme Billois, Wavestone : 2019 sera une année de transition forte avec les 3 piliers que sont le cloud, l’agile et les API
- François-Xavier Vincent, Oodrive : La Security & Privacy by Design sont des pratiques assez naturelles chez Oodrive
- Christophe Chaubard-Willm, ASSYSTEM - BU Connect : pour limiter les risques il faut élaborer une démarche pragmatique de maitrise
- David Bizeul, CTO de SEKOIA : Nos solutions de sécurité n’hésitent pas à casser les idées reçues et surtout qui sont agréables à utiliser !
- Théodore-Michel Vrangos, I-TRACING : Les RSSI jouent u rôle clé dans les entreprises
- Vincent Meysonnet, Bitdefender : Nous continuons de travailler sur la détection et la protection avancée face à un paysage des menaces en constante évolution
- Christophe da Fonseca, Paessler AG : la détection des événements inhabituels peuvent aider à repérer des activités frauduleuses
- Pascal Le Digol, WatchGuard Technologies : Le déploiement d’outils de sécurité est un gage pour conserver un coup d’avance sur les cyber-malveillants
- Fabien Corrard, Gfi Informatique : la mise en place d’outils de sécurité permet de répondre aux mesures réglementaires
- Emmanuel Gras, ALSID : La prise de conscience de l’importance de la cybersécurité est effective
- David Grout, FireEye : Pour bien se protéger la formation, l’outillage sont clef mais l’intelligence est décisive
- Alexis Nardone, INQUEST, groupe GM Consultant : il faut entamer le chantier de la cybersécurité par des actions pragmatiques et cohérentes
- Didier Cohen, WALLIX : les entreprises doivent penser « Privacy et Security by Design » !
- Franck Mazeau, Panda Security : Un EDR est aujourd’hui indispensable
- Christophe Auberger, Fortinet : le RGPD est une opportunité et un facteur différenciant
- Hervé Rousseau, CEO d’Openminded : le FIC est l’occasion d’échanges fructueux avec l’écosystème de la cybersécurité
- Roland Atoui, et Ayman Khalil, Red Alert Labs : Le déploiement des IoT passe par la sécurité
- Michel Gérard, PDG de Conscio Technologies : Faites de vos collaborateurs le maillon fort de votre défense cyber
- Benoît Mangin, AEROHIVE : N’ayez pas peur de passer aux nouveaux usages et aux nouvelles technologies qui le permettent pour améliorer vos business
- Benjamin Leroux, Advens : Security-as-a-service Factory pour industrialiser vos services de Sécurité clé en main
- Bertin IT accélère sur la mise en conformité LPM et NIS en 2019
- Frédéric Braut, Tech Data : Pour déployer une sécurité efficace, il faut savoir adresser le cloud, l’hybridation des infrastructures, la gestion de la donnée ou encore les flux réseaux
- Coralie Héritier, IDNOMIC : Chacun doit œuvrer pour renforcer la confiance numérique
- Sébastien Gest, Vade Secure : Déjouer le piège au premier regard devient un défi pour l’humain…
- Eric Heddeland, Barracuda Networks : De la réponse aux menaces à la sensibilisation
- Raphael Basset ERCOM : Nos solutions de communications et collaboration réconcilient efficacité, sécurité, confidentialité et souveraineté
- Karl Buffin, Skybox Security : Simplifiez la gestion du Cyber Risk
- Marco Rottigni, Qualys : La transformation numérique et les nouvelles réglementations vont changer le rôle et la place du RSSI
- Arnaud Gallut, Ping Identity : Pensez à sécuriser vos API face à la menace croissante de fuite de données
- Christian Pijoulat, LogPoint : Automatiser les processus de sécurité est une nécessité !
- Briag Monnier, Scassi : La sécurité n’est pas une fonctionnalité ou une option, c’est un processus
- Steve Kremer, Inria : La recherche académique a un rôle majeur à jouer pour aller vers un monde plus sûr
- Kristine Kirchner, inWebo : Il n’y a plus de frein à la généralisation du MFA pour l’intégrer très en amont dans les applications
- Antoine Coutant, Systancia : L’anticipation des menaces passe par le contrôle des accès à privilège
- Matthieu Dierick, F5 : Le déploiement de services applicatifs accroît la capacité des entreprises à prospérer
- Benjamin SCHILZ, Acorus Networks : La protection DDoS ne s’improvise pas !
- Fabrice Clerc, C.E.O. de 6cure : La dématérialisation met tout le monde sur un cyber-champ de bataille