Karim Bouamrane, Bitglass : Avec les CASB, les entreprises disposent d’une solution de choix pour protéger leurs données dans le Cloud
septembre 2018 par Marc Jacob
A l’occasion des Assises de la Sécurité, Bitglass présentera sa solution de nouvelle génération de sécurisation des accès cloud en mode SaaS (CASB).
Karim Bouamrane, Directeur, Europe du Sud et Afrique de Bitglass estime que les CASB, permettent aux entreprises qui veulent protéger leurs données et se conformer à la réglementation dans un environnement professionnel orienté Cloud disposent d’une solution de choix vers laquelle se tourner.
Global Security Mag : Qu’allez-vous montrer aux Assises de la Sécurité ?
Karim Bouamrane : Bitglass présentera aux Assises sa solution de nouvelle génération de sécurisation des accès cloud en mode SaaS (CASB). Elle permet aux entreprises d’adopter le cloud tout en assurant la sécurité des données et leur conformité réglementaire. Bitglass protège les données présentes dans n’importe quelle application cloud, sur tous types d’appareils et indépendamment de l’endroit où elles se trouvent. Nous en ferons d’ailleurs la démonstration sur le stand.
GS Mag : Quelles sont les principales menaces que vous avez identifiées pour 2018 ?
Karim Bouamrane : L’erreur humaine (intentionnelle ou accidentelle) représente l’un des plus grands risques pour la sécurité des entreprises en 2018. Actuellement, elles sont exposées lorsque les employés partagent des fichiers en externe, accèdent à des données à partir d’appareils mobiles non gérés et remettent leurs identifiants à des tiers malveillants. Les entreprises qui ne parviennent pas à moderniser leurs solutions de sécurité et à répondre à ces préoccupations ouvriront inévitablement une brèche de sécurité.
Le Shadow IT est un bel exemple de la façon dont une erreur humaine peut nuire à une entreprise. Le Shadow IT désigne les services technologiques que les employés utilisent à l’insu de leur service informatique. Bien que cela ait toujours été un problème, l’émergence d’applications dans le Cloud a aidé les employés à contourner plus rapidement et à moindre coût les canaux officiels d’approvisionnement en IT. Aujourd’hui, n’importe quel service peut facilement utiliser ses propres ressources pour déployer des applications Cloud pour stocker et partager les données de l’entreprise.
Si ces solutions informatiques parallèles peuvent apporter un gain de productivité à court terme, elles diminuent la sécurité des données et entravent le respect de réglementations telles que le règlement général sur la protection des données (RGPD). En effet, les équipes informatiques sont aveugles face aux applications non autorisées - elles ne sont pas en mesure de les surveiller pour détecter les fuites de données ni d’appliquer les politiques appropriées au sein de celles-ci. Heureusement, il existe des outils de détection de cette informatique fantôme qui adressent ce problème.
GS Mag : De quoi les entreprises ont-elles besoin du point de vue de la sécurité ?
Karim Bouamrane : Les organisations doivent maintenir une compréhension globale de leur politique de sécurité - elles doivent évaluer tous les services utilisés afin de détecter les failles de sécurité les plus susceptibles de présenter un risque pour les données de l’entreprise. La plupart constateront que le cloud et le mobile ne sont généralement pas correctement sécurisés. Par exemple, les outils anti logiciels malveillants traditionnels nécessitent l’installation de logiciels sur les points d’extrémité appartenant à l’entreprise. Bien que cela puisse protéger les périphériques d’entreprise contre les logiciels malveillants, cela ne tient pas compte de la façon dont les logiciels malveillants peuvent se propager à travers les applications cloud et les périphériques personnels des collaborateurs. Aujourd’hui, cette défense contre les logiciels malveillants nécessite une solution capable d’analyser les fichiers à la recherche de menaces en amont, en aval et au niveau des applications dans le cloud.
Autre exemple, les entreprises doivent gagner en visibilité et en contrôle sur la manière dont les employés utilisent les données d’entreprise dans le cloud. Pour y parvenir, de nombreuses entreprises se tournent vers les solutions de sécurisation des accès cloud en mode SaaS (CASBs). Les fonctions de visibilité des CASB analysent les pare-feu ou les journaux de proxy, afin de permettre aux équipes informatiques de mieux comprendre les applications cloud en cours d’utilisation ainsi que les risques associés à chacune d’elles. A partir de là, une organisation peut décider de prendre des mesures à l’égard de certaines des applications non gérées qui ont été découvertes. Des solutions de CASBs avancées permettent de définir que des applications sont désormais en lecture seule : les employés peuvent continuer à visualiser et télécharger des informations, mais ne peuvent plus rien uploader. Ainsi, elles permettent la collaboration tout en réduisent la probabilité de fuite de données.
GS Mag : Comment votre stratégie pourrait-elle contribuer à résoudre ces problèmes ?
Karim Bouamrane : L’un des plus grands défis en matière de sécurité dans le Cloud n’est pas de savoir comment sécuriser le Cloud, mais comment protéger l’utilisation du Cloud. En effet, les fournisseurs de services dans les nuages dépensent déjà des sommes considérables pour s’assurer que leurs offres sont intrinsèquement sécurisées. Le PDG de Microsoft, par exemple, s’est engagé à dépenser plus d’un milliard de dollars chaque année pour maintenir l’infrastructure cloud de Microsoft hermétique. Par conséquent, l’une des premières choses qu’une organisation doit prendre en compte lorsqu’elle évalue sa politique de sécurité c’est de savoir comment protéger ses données lorsqu’elles sont accessibles par un nombre toujours croissant de dispositifs - dont beaucoup sont personnels et non gérés.
Si 10.000 périphériques disposent d’un accès au réseau et que l’équipe informatique ne peut pas mettre de logiciel de sécurité sur la moitié d’entre eux, cela représente un problème majeur pour l’entreprise. Les informations de l’entreprise sont alors facilement accessibles à partir de périphériques personnels, et il est alors facile pour les employés de divulguer des données via des téléchargements, des uploads ou des partages inappropriés. C’est pourquoi il est essentiel que les entreprises puissent contrôler et révoquer l’accès aux données à partir d’appareils mobiles non gérés, par exemple lorsqu’un employé quitte l’entreprise ou lorsqu’un appareil est perdu ou volé. En même temps, les fonctionnalités de l’appareil et la confidentialité de l’utilisateur ne peuvent pas être compromises, ce qui signifie que les outils invasifs comme les solutions de gestion des appareils mobiles (MDM) et de gestion des applications mobiles (MAM) ne suffisent pas. C’est pourquoi les solutions flexibles telles que les CASB sans agent deviennent synonymes de sécurité en nuage. Sans porter atteinte à la vie privée des employés ou à la fonctionnalité des appareils, elles sont en mesure de sécuriser les données où qu’elles aillent.
GS Mag : Avec l’entrée en vigueur du RGPD, "la sécurité et le respect de la vie privée dès la conception" deviendront presque inévitables. Comment allez-vous vous positionner dans ce domaine ?
Karim Bouamrane : Les applications cloud sont de plus en plus répandues sur le lieu de travail. Elles permettent à toute organisation d’obtenir une plus grande flexibilité et de se doter de fonctionnalités avancées d’une manière rentable. Toutefois, le règlement général sur la protection des données (RGPD) comporte un certain nombre d’exigences applicables à toutes les entreprises qui utilisent le cloud. Par exemple, celles-ci doivent savoir où sont stockées les données des applications dans le cloud, s’assurer que toutes les applications qu’elles utilisent respectent les normes de sécurité de ce règlement, vérifier que les données des clients ne sont partagées avec aucun tiers, et bien plus encore.
Malheureusement, les employés utilisent souvent les applications en nuage sans se soucier de savoir si elles sont approuvées par leur service informatique. En outre, la quantité d’applications disponibles aujourd’hui signifie que la lutte constante pour les découvrir et les contrôler est une entreprise pratiquement impossible. C’est pour cela que nous estimons que les entreprises doivent mettre en œuvre des mesures de sécurité pour permettre de protéger les données sensibles à tout moment, où qu’elles se trouvent. Les solutions de CASBs s’imposent alors comme une réponse naturelle, parce qu’elles offrent une visibilité et un contrôle sur l’utilisation des solutions cloud afin d’assurer la conformité à des règlements comme le RGPD. Elles offrent des suites complètes de fonctionnalités telles que la prévention des pertes de données (DLP), le cryptage, le contrôle d’accès contextuel, la détection de l’informatique fantôme, la protection avancée contre les menaces, et plus encore. L’architecture sans agent de Bitglass se révèle particulièrement utile lorsqu’il s’agit d’assurer la conformité à RGPD, car elle garantit la sécurité sans affecter la vie privée des employés, comme mentionné ci-dessus.
GS Mag : Quel est votre message aux responsables de la sécurité de l’information ?
Karim Bouamrane : Nous avons récemment dévoilé notre deuxième étude européenne « Cloud Adoption ». Celle-ci montre la croissance des usages Cloud depuis 2016 en Europe. Les applications cloud utilisées aujourd’hui par des myriades d’entreprises sont bénéfiques et transformatrices, mais elles stockent toujours des données sensibles en dehors des réseaux d’entreprise et, par conséquent, au-delà de la portée des systèmes de sécurité sur site. Ce problème est accentué par l’introduction des appareils personnels (BYOD) et des politiques de travail à distance par lesquelles les employés accèdent aux données à distance, à partir d’appareils personnels, et de façon risquée, ce qui peut s’avérer difficile à contrôler pour les services informatiques. Grâce aux capacités de sécurité en mode SaaS offertes par les CASB, les entreprises qui veulent protéger leurs données et se conformer à la réglementation dans un environnement professionnel orienté Cloud disposent d’une solution de choix vers laquelle se tourner.
Articles connexes:
- Stephan Ichac, 3M France : Les filtres de confidentialité, pour aller jusqu’au bout de la démarche RGPD
- Jacques de La Rivière, Gatewatcher : Pour mieux parer les attaques, il faut raisonner comme un Hacker !
- Vincent Meysonnet, Bitdefender : Le chiffrement des disques et la gestion des correctifs pour réduire la surface d’attaque
- Arnaud Cassagne, Newlode : La sécurité manuelle doit laisser place à la sécurité automatisée…
- Guillaume Gamelin, F-Secure France : en matière de cybersécurité, pensez services managés !
- Xavier Lefaucheux, WALLIX : Avec WALLIX, optez pour la cybersécurité simplifiée !
- Moncef Zid, NETSCOUT Arbor : La protection contre le DDoS doit devenir un sujet prioritaire pour les RSSI
- Ramyan Selvam, Juniper Networks : l’automatisation de la sécurité est un enjeu stratégique pour les entreprises
- Chardy N’DIKI, Centrify : « Zéro Trust » sécurise les accès business et les accès à hauts privilèges en tenant des différents contextes d’usage
- Laurent Lecroq, Forcepoint : Les solutions techniques ne sont plus suffisantes
- Pierre Calais, Qualys : Notre objectif est de fournir des outils proactifs pour renforcer les défenses avant l’attaque
- Sébastien Faivre, Brainwave : Nos solutions ont pour objectif d’aider les RSSI à y voir plus clair
- Coralie HERITIER, IDNOMIC : l’identité numérique agit comme un véritable catalyseur d’innovation
- Michael Vaeth, ForgeRock : les RSSI doivent avoir conscience de la nécessité de tenir compte des nouvelles normes de confidentialité et de consentement
- Stéphane Dahan, CEO de Securiview : Anticipez l’inattendu !
- Kevin POLIZZI, Jaguar Network : le cloud et la virtualisation sont en train de révolutionner les technologies de sécurité
- Fabien Corrard, Gfi Informatique : l’analyse de logs doit être laissée à des experts SIEM outillés !
- Hervé Rousseau,OPENMINDED : il est possible de faire des choix stratégiques et disruptifs qui vont présenter un rapport “coût/amélioration de la posture sécurité” efficient
- Edouard de Rémur, OODRIVE : les RSSI doivent valider le critère de sécurité des outils utilisés pour préserver les informations d’importance vitale ou stratégiques
- Eric Guillotin, Imperva : il est primordial d’évaluer les risques, détecter les menaces, prévenir et neutraliser les attaques
- Marie-Benoîte Chesnais, CA Technologies : la sécurité doit se fondre dans le décor !
- Jean-Nicolas Piotrowski, ITrust : n’attendez plus pour contrer les tentatives d’intrusion !
- Alexandre Souillé, Président d’Olfeo : Notre concept de sécurité positive permet de générer un environnement de confiance sur Internet
- Laurence Cozlin, NETSKOPE : Mieux vaut sécuriser les applications que de bloquer leurs accès
- Didier Guyomarc’h, ZSCALER : Du fait de ses mises à jours régulières, le Cloud vous protège contre les logiciels malveillants
- Matthieu Dierick, F5 : Rendez la sécurité de vos infrastructures plus agile, grâce à l’automatisation et l’orchestration
- Laurent Hausermann, SENTRYO : Les RSSI et les Responsables Sécurité doivent collaborer avec le monde industriel
- Jean-Christophe Mathieu, Siemens SAS : le facteur humain, clé de voûte de la sécurité des systèmes industriels
- Xavier Rousseau, Ixia : Les entreprises de déchiffrer le trafic et de tester leurs infrastructures
- Raphael Basset, ERCOM : Nos solutions de communications et de collaboration réconcilient efficacité, sécurité, confidentialité et souveraineté
- Ali Neil, Verizon : la sécurité devrait être une tâche courante et non pas une tâche effectuée une fois par an
- Jeremy Grinbaum, Box : Nous aidons les entreprises à prendre le contrôle de vos données tout en restant conforme aux législations en vigueur
- Laurent Marechal, McAfee : face à l’avènement du Cloud il faut maintenir les niveaux d’exigences existants en termes de sécurité et de conformité
- François Baraër, Cylance : l’Intelligence Artificielle est une révolution pour la cybersécurité !
- Cyrille Badeau, ThreatQuotient : L’efficacité de votre défense passe par l’amélioration de la collaboration entre services et par la capitalisation sur le renseignement
- Théodore-Michel Vrangos, I-TRACING : le RSSI doit s’adapter en amont à la stratégie de l’entreprise et lui apporter ses expertises
- Frédéric Bénichou : il est urgent de passer à des solutions de nouvelles générations pour protéger le poste de travail
- Fabrice Clerc, 6CURE : les entreprises prennent peu à peu conscience de la menace engendrée par les DDoS
- Emmanuel Jacque, SAS : Innover plus vite que les fraudeurs ou les cybercriminels
- Ghaleb Zekri, VMware : La virtualisation permet de mieux sécuriser vos applications
- Daniel Bénabou et Daniel Rezlan, IDECSI : Notre ADN est depuis notre création centré sur l’apport de solutions pensées pour les équipes sécurité
- Alexandre Delcayre, Palo Alto Networks : Il faut optimiser et automatiser les opérations autour de la cybersécurité
- Julien Tarnowski, ForeScout Technologies : La sécurité de votre réseau local et sites distants passe avant tout par la visibilité de tous les devices
- Christian Pijoulat, Logpoint : Notre SIEM offre une vision claire des dépenses grâce à sa tarification à l’IP
- Lucie Loos, Nameshield : Nous souhaitons accompagner et conseiller les RSSI et DSI dans la mise en place de leur stratégie de sécurité .
- Michel Lanaspèze, SOPHOS : Les RSSI et les Responsables Sécurité doivent collaborer avec le monde industriel
- Karl Buffin, Skybox Security : vers une vision proactive et totale de la surface d’attaque
- Laurent Cayatte, Metsys : « Security Excellence Center », le service de sécurité managé de Metsys
- Alain Dubas, CISCO : devant la recrudescence des attaques, les RSSI et DSI doivent s’équiper de solutions intégrées et réactives
- Emmanuel Gras, Alsid : les infrastructures Active Directory sont le point névralgique de vos systèmes d’information
- Sébastien Gest, Vade Secure : le phishing représente un véritable fléau pour les entreprises
- Thierry Brengard, CenturyLink : il est plus facile d’agir lorsqu’on connait les risques
- Didier Wylomanski, Gemalto : protection et contrôle des données, quelle stratégie adopter ?
- Arnaud Gallut, Ping Identity : ne négligez pas la sécurité de vos API !
- Bastien Bobe, Lookout : le mobile apparaît dorénavant comme le maillon faible de la chaîne
- Hervé Liotaud, SailPoint : la gouvernance des identités permet de lutter contre les menaces tout en respectant les obligations réglementaires de conformité
- Bernard Montel, RSA : le tryptique « Logs, réseau, poste » est crucial
- Vincent Merlin, Proofpoint : l’humain doit être le point central de toute politique de sécurité
- Gaël Kergot, ServiceNow : De la réponse à incidents de sécurité au suivi de la conformité et des risques
- Matthieu Bonenfant, Stormshield : Nous défendons une vision résolument Européenne avec à la fois plus de protection et de transparence
- Julien Cassignol, One Identity : En matière d’IAM les RSSI doivent pratiquer la politique des petits pas
- Erwan Jouan et Nicolas Liard, Tufin : la culture DevOps a fait évoluer le modèle de la cybersécurité
- Cyrille Barthélémy, PDG d’Intrinsec : du SOC à la Cyber Threat Intelligence
- Rémi Fournier et Eric Derouet, Synetis : Nous souhaitons aider les RSSI dans la maîtrise des risques liés au numérique
- Grégory Cardiet, Vectra : l’IA peut créer de plus en plus de valeur pour les RSSI et leurs organisations
- Gérôme Billois, Wavestone : RSSI, positionnez-vous aussi comme le responsable de la sécurité des données de vos clients !
- David Grout, FireEye : La sécurité doit se baser sur l’étude du risque métier et la connaissance des attaquants et de leurs techniques
- Jan Van Vliet, Digital Guardian : placez vos données au centre de votre sécurité
- Mathieu Rigotto, IMS Networks : Connaitre sa surface d’attaque pour réduire les risques
- Antoine Coutant, Systancia : il est essentiel de pouvoir détecter une attaque externe ou interne pour être en capacité de réagir