Laurent Maury, Thales : Les RSSI ne doivent pas rester seuls
septembre 2015 par Marc Jacob
Lors des Assises de la Sécurité, Thales présentera sa stratégie en matière de Cybersécurité qui permet de couvrir couvre l’ensemble du cycle de vie des systèmes d’information tout en prenant en compte la nature spécifique de leurs métiers. Laurent Maury, Vice-président, Systèmes d’Information Critiques et Cybersécurité de Thales est convaincus que la meilleure stratégie consiste à intégrer la cybersécurité dès la conception des systèmes d’information, à utiliser des outils de protection efficaces tels que la supervision de sécurité, complétés par moyens techniques et humains afin de réagir rapidement aux attaques. Pour lui face, aux cyber-menaces et à l’accumulation de contraintes qu’elles engendrent, les RSSI ne doivent pas rester seuls.
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Laurent Maury : Nous allons présenter la façon dont les entreprises et organisations peuvent réellement maîtriser les cyber-menaces : via une stratégie de cybersécurité qui couvre l’ensemble du cycle de vie des systèmes d’information tout en prenant en compte la nature spécifique de leurs métiers.
Les cyber-menaces sont une réalité avec laquelle la société de l’information doit apprendre à vivre. Chaque jour, la sophistication des attaques défie les capacités défensives des organisations et des États. En plus de la protection, l’enjeu est de pouvoir détecter, maîtriser et limiter les conséquences des attaques par la combinaison de services et de solutions de confiance.
Chez Thales, nous sommes convaincus que la meilleure stratégie consiste à intégrer la cybersécurité dès la conception des systèmes d’information, à utiliser des outils de protection efficaces tels que la supervision de sécurité, complétés par moyens techniques et humains afin de réagir rapidement aux attaques. Le maintien en condition opérationnel, incluant mises à jour permanentes, est aussi essentiel pour assurer dans le temps la sécurité de systèmes toujours plus complexes.
Nous solutions sont adaptées aux métiers de nos clients, et ce grâce à l’expertise métier de nos équipes. En effet, chez Thales, nous vivons au quotidien l’interaction entre la maîtrise des compétences métiers et les compétences de sécurité qui s’appliquent à nos cinq activités - la Défense, de la Sécurité, de l’Aéronautique, de l’Espace et du Transport Terrestre. Ces compétences sont essentielles pour ce qui s’avère être le défi majeur du 21e siècle pour les États comme pour les grands opérateurs et les entreprises : la cybersécurité maîtrise de l’information critique, en particulier sa sécurité.
GS Mag : Quelle va être le thème de votre conférence cette année ?
Laurent Maury : La conférence proposée par Thales cette année, « Traitement concret d’un incident de sécurité : de la détection à la résolution », sera l’occasion de partager avec tous les RSSI notre expérience dans la détection des cyber-menaces et à la limitation de leurs impacts.
Vol de données, dommages sur des systèmes d’information entraînant des dégâts financiers, d’image... les impacts d’une cyberattaque sont importants…mais trop souvent sous-estimés, tant qu’elle ne se produit pas ! La priorité doit être donnée à la détection précoce des menaces et à la limitation de leurs effets. Pour cela, des solutions existent : sonde de confiance, centre de supervision de sécurité avec analyse 24h/24, bulletins du CERT, intervention d’urgence, etc. Mais ces solutions sont efficaces, seulement si elles sont correctement mises en place dans le cadre d’une politique de sécurité globale.
GS Mag : Comment va évoluer votre offre pour 2015/2016 ?
Laurent Maury : Notre offre se caractérise en ce qu’elle offre aux clients les plus exigeants un ensemble complet de produits et de services qui, d’une part, couvre tout le cycle de vie des systèmes d’information critiques (audit initial, conception, développement, intégration, opération, maintenance, remédiation) ; et d’autre part, adresse toutes les couches de l’informatique, depuis le réseau jusqu’aux applicatifs logiciels en passant par le middleware.
Concernant l’audit, la première des mesures de cybersécurité, Thales a obtenu en mars 2015 la qualification « Prestataire d’Audit de la Sécurité des Systèmes d’Information » (PASSI) par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Cette qualification permet à Thales de réaliser les audits de sécurité des systèmes d’information des opérateurs d’importance vitale, rendus obligatoires dans le cadre de la Loi de Programmation Militaire (LPM) 2014-2019. Ce type d’audit permet de mettre en évidence des vulnérabilités techniques ou organisationnelles du système d’information et d’identifier des axes d’amélioration visant à élever le niveau de sécurité.
En parallèle, adossés à nos offres de produits de sécurité que nous continuons d’enrichir (chiffreurs, sondes, HSM…), nous préparons de nouvelles offres de services de cybersécurité, en particulier liées à la surveillance, sur des verticaux métiers très variés et des zones géographiques toujours plus étendues. Nous allons aussi continuer à développer notre activité de services en cybersécurité, ou Managed Security Services, et notamment la mise en place de sondes de circonstance ou la surveillance généralisée de systèmes d’information critiques par notre réseau de centres de sécurité opérationnel (SOC). Outre la France, nos efforts marketing visent tout particulièrement les grands pays d’Europe, l’Amérique du Nord et l’Asie Pacifique, où Thales se doit d’accompagner ses clients dans la lutte contre les cyber-menaces et le maintien de leurs systèmes d’information en conditions de sécurité.
GS Mag : Quelle sera votre stratégie commerciale pour 2015/2016 ?
Laurent Maury : La stratégie commerciale de Thales consiste à répondre aux besoins de chaque client avec des solutions adaptées pour faire face à la prolifération des cyber-menaces. Nous nous adaptons au contexte particulier et aux contraintes de chaque client, en étant capable d’apporter des briques critiques ou des solutions de bout en bout, selon le besoin, mais toujours en prenant des engagements de résultat. Au-delà des éléments constitutifs du système d’information et du réseau, de plus en plus, nous insistons sur la conception d’architectures informatiques robustes qui sont à la base de la cybersécurité. En outre, nous intégrons les composants de nos partenaires de choix avec ceux que nous développons nous-mêmes dans un ensemble cohérent tenant compte de l’existant. Et nous proposons des solutions de sécurité sur plusieurs sujets les structurants, comme la mobilité, avec notre solution de sécurisation de smartphones et tablettes, les systèmes industriels type SCADA ou la sécurisation des objets connectés.
Répondre aux exigences de cybersécurité des OIV (Opérateurs d’Importance Vitale) sera notre priorité cette année, en France et à l’international. Et cela passera d’abord par l’audit de sécurité de leurs systèmes d‘information, ce qui est le meilleur moyen d’obtenir une évaluation du niveau initial de protection d’un système d’information, avant de mettre en place sa supervision de sécurité et son maintien en condition de sécurité.
GS Mag : Quel est votre message aux RSSI ?
Laurent Maury : Les RSSI sont au cœur de l’évolution du sujet, leur rôle a pris un sens nouveau et ils doivent faire face à des contraintes toujours plus étendues liées aux enjeux des cyber-attaques et des risques que courent les systèmes d’information de leurs entreprises. La réglementation se renforce elle aussi et il devient de plus en plus difficile pour un RSSI d’en maitriser tous les aspects techniques, organisationnels et juridiques. Sans oublier que cette profession, à la croisée de nombreux métiers dans l’entreprise, doit continuer à assurer ses missions essentielles d’information et de formation des personnels tout en gérant en temps réel les crises induites par les différentes cyberattaques.
Nous voulons dire aux RSSI qu’ils ne doivent pas rester seuls face à cette accumulation de contraintes et que des sociétés comme Thales peuvent les aider à appréhender toute la complexité du domaine avec des services à la carte :
– de conseil,
– d’accompagnement,
– d’aide à la mise en place de solutions techniques,
– d’assistance pour la gestion des crises,
– de maintien dans le temps de l’efficacité des moyens de protections,
contre des cyber-menaces toujours plus agiles et plus présentes.
Articles connexes:
- Cercle de la sécurité : Elevator Pitch, 4 entreprises pour un prix du public
- Emmanuel Meriot, Darktrace France : « L’Enterprise Immune System », une nouvelle catégorie de cyber défense
- Ludovic Poitou, ForgeRock France : l’identité est au centre de tout !
- Pierre Calais, Stormshield : Accompagner la transition et l’externalisation du SI vers le Cloud tout en gardant la maîtrise de sa sécurité, c’est possible !
- Sid-Ahmed Lazizi, MobileIron : Les salariés doivent prendre conscience des conséquences des failles de sécurité
- Emmanuel Macé, Security Expert, Akamai : Les utilisateurs doivent être remis au cœur de la stratégie de sécurité
- Jean-Noel De Galzain, Dominique Meurisse et François Lacas, WALLIX : Wallix AdminBastion invente la solution agile et pragmatique de Privileged Access Management
- Sylvain Conchon, CONIX : les RSSI doivent sortir des sentiers battus et innover pour mieux parer les menaces
- Gilles Castéran, Directeur Général d’Arismore : La confiance numérique passe par la gestion des accès et des identités
- Philippe Humeau NBS System : il est possible de défendre ses applicatifs
- Frédéric Charpentier, XMCO : Notre service de Cyber-Surveillance est un véritable radar pour les RSSI
- Arnaud Cassagne, Nomios : Les entreprises doivent miser sur des experts sécurité transverses
- Laurent Gautier, Président d’Ilex International : freiner la transformation digitale des entreprises par crainte des menaces serait une erreur !
- Fabrice Clerc, Président de 6cure : face aux nouvelles menaces il faut mettre en place des stratégies de neutralisation collaboratives
- Sébastien Faivre, DG de Brainwave : Il est nécessaire de restreindre l’accès aux applications et aux données à ce qui est légitime
- Benoit Grunemwald, ESET France : Nous souhaitons répondre aux nouvelles formes de menaces
- Loïc Guezo, Trend Micro : la sécurité doit être appréhendée comme un risque métier nécessitant d’impliquer la direction générale
- Stéphane Castagné, Barracuda Networks : Nos solutions prônent la Simplicité, la performance et un ROI prévisible
- Frank Lyonnet, Riverbed Technology : Performance et sécurité ne sont pas antinomiques !
- Marc Cierpisz, Econocom : Les RSSI sont au cœur de la transformation numérique
- Frédéric Saulet, LogPoint : Gérer sans effort le Big Data avec notre outil SIEM
- Leonardo L’ecaros, AirWatch, la mobilité comme facteur de productivité
- Pascal Mavric, SPIE Communications : Les entreprises doivent infléchir leur approche de la sécurité en silo
- Frédéric Thauvin et Franck Trognée, HID Global Identity Assurance - a business unit of HID Global : les entreprises doivent réadapter leur stratégie de mobilité en prenant en compte l’authentification forte
- Stéphane Dahan, Securiview : Rapprochez-vous des métiers et adoptez une « Saine Paranoïa »
- Arnaud Casali, Jaguar Network : optez pour une approche systémique des infrastructures de sécurité
- Dimitri Perret, Vade Retro Technology : sécurité et expérience utilisateur peuvent être compatibles !
- Marylise Jacottin, NTT Com Security : ayez conscience de votre exposition aux risques
- Eric Derouet, SYNETIS : RSSI, communiquez et démontrez !