Laurent NOE, OVELIANE : Une bonne hygiène des serveurs est indispensable pour éviter la plupart des attaques
janvier 2019 par Marc Jacob
Pour sa nouvelle participation au FIC, OVELIANE sera au cœur de l’actualité de la cybersécurité grâce à sa solution OSE qui permet d’offrir une véritable hygiène sécurité aux serveurs. Laurent NOE, fondateur d’OVELIANE estime à l’unisson avec le Guide de d’Hygiène de la sécurité édité par l’ANSSI que si une bonne hygiène avait été respectée, la plupart des attaques n’auraient pas pu avoir lieu.
Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?
Laurent NOE : Nous avons énormément de chance. Cette année, ce n’est pas nous qui venons avec une actualité mais l’actualité qui vient à nous.
Depuis longtemps, nous martelons que la base de la sécurité est la prévention, par l’application d’une vraie hygiène sécurité, certes au niveau de la conception mais aussi et surtout de l’exploitation.
Le guide d’hygiène écrit à l’ANSSI par les équipes de Guillaume POUPARD va dans ce sens.
Dès les premières lignes de l’avant-propos, il est précisé que si une bonne hygiène avait été respectée, la plupart des attaques n’auraient pas pu avoir lieu.
Au FIC, nous venons présenter OSE dont le rôle est de contrôler en continu l’hygiène sécurité des assets d’un SI. Cette solution est déjà utilisée par des clients importants dans des domaines très sensibles (ou par de plus petites structures pour des besoins de sécurité mais surtout de tranquillité) qui utilisent notre solution pour prévenir des attaques sur des systèmes d’information particuliers ou sur des serveurs dont dépend une partie importante de leurs activités. Ces clients se trouvent en France mais aussi à l’étranger.
Notre objectif, à partir de maintenant et en particulier au FIC est de réussir à faire passer ce message : il vaut mieux prévenir que guérir et nous pouvons vous y aider.
GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?
Laurent NOE : Ce thème amène à revoir la façon d’aborder la sécurité. Depuis presque 20 ans, l’approche a été de traiter chaque menace avec une solution de sécurité adaptée (Firewall, antivirus …). Mais tout le monde s’est aperçu que les attaquants avaient forcement une longueur d’avance et qu’à chaque nouvelle menace, certains étaient touchés avant qu’une solution n’émerge.
En parallèle, les bonnes pratiques que tout le monde avait et qui étaient liées aux concepts mêmes des gros systèmes (cloisonnement des droits et des rôles, intégrités …) ont été progressivement abandonnées ou tout au moins, moins suivies.
L’évolution des attaquants et du contexte géopolitique et économique a fait changer les mentalités. Un souci de mise en conformité est apparu. Son objectif est de prévenir les menaces plutôt que de les combattre.
Le « security and privacy by design » et le contrôle de l’hygiène du système d’information vont dans ce sens.
Cet enjeu est compris mais nécessite de faire bouger l’ensemble des acteurs de l’entreprise. Cela concerne autant la conception des outils de production que les utilisateurs, l’organisation des services transverses que les outils informatiques, les dirigeants que l’ensemble du personnel.
La sécurité doit être prévue à la conception mais il faut aussi vérifier que l’utilisation et les évolutions ne la fassent pas diminuer.
Tout ceci va donc prendre beaucoup de temps.
GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?
Laurent NOE : Tout d’abord de garder comme premier objectif de travailler à renforcer la sécurité et non de se focaliser sur le respect aveugle des normes et règles. L’objectif de la réglementation est de réduire les risques, il ne faut pas, pour s’y conformer, les augmenter en oubliant l’essentiel.
Ensuite, impliquer l’ensemble de l’entreprise. La sécurité n’est plus uniquement l’affaire des équipes sécurités mais de tous les acteurs. Tout le monde dans l’entreprise a un impact sur le niveau de sécurité globale (qui ne connait pas le cas d’un « simple utilisateur » ayant cliqué sans méfiance sur une pièce jointe ou un lien frauduleux dans un courriel ?). Négliger ce point, c’est risquer de faire des investissements colossaux et inutiles.
Enfin, privilégier la prévention à la correction. Intégrer la sécurité dès la phase de conception et vérifier l’hygiène générale en permanence.
GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?
Laurent NOE : La réponse à cette double question est très dépendante de la taille des structures. Pour les grandes entreprises, le souci de la sécurité est présent depuis longtemps. Néanmoins, régulièrement, les budgets étaient faibles ou rabotés en fonction de l’activité. Le risque financier (forte amende) induit par le RGPD a recentré cette problématique au cœur des préoccupations à un niveau décisionnaire très élevé.
Cette mesure étant arrivée de façon globalement concomitante à la LPM, pour certains, elle concerne une grosse partie du SI.
Pour les petites structures, la sécurité était parfois un risque très lointain et donc totalement ignoré. La vague de ransomwares et maintenant la RGPD ont fait prendre conscience qu’une attaque informatique pouvait entraîner la disparition d’une structure, soit par la paralysie du SI et la perte de données, soit par l’amende et la perte d’image.
Le problème est la notion de mise en conformité, qui reste relativement floue.
Le gros du travail a été initié sur le plan juridique et organisationnel. Le travail sur l’aspect technique reste encore largement à faire.
GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?
Laurent NOE : 2019 ira, de mon point de vue, dans le même sens que 2018.
Les cyber attaquants sont organisés, outillés, formés.
Leurs objectifs sont économiques (vol de données, détérioration d’image, espionnage) ou géo politiques.
Le temps de l’attaquant amateur est révolu. Il s’agit plus d’une guerre contre de véritables armées ou des bandes organisées.
Cette tendance devrait se poursuivre pendant un nombre certain d’années.
GS Mag : Quel est votre message à nos lecteurs ?
Laurent NOE : « Il vaut mieux prévenir que guérir. ». Avant de mettre en place batterie de solutions de sécurité, contrôler l’hygiène de son système d’information peut être salvateur et permettre des économies importantes. OVELIANE avec sa solution OSE peut sensiblement vous aider dans cette tâche.
- Pour en savoir plus
Laurent NOE
Espace Innovation (E30 – en face E31)
laurent.noe@oveliane.com
Tél. 01 43 34 09 04
http://www.oveliane.com/
Articles connexes:
- Alexandre Souillé, Olfeo : la sécurité du SI dépend de la solidité de son maillon le plus faible
- Yann LE BAIL, CEO de BYSTAMP : Nous rendons infalsifiable un document signé
- Guillaume GAMELIN, F-Secure : avec « Rapid Detection and Response Service », le couple Homme -Machine vous apporte une réelle solution clés en main
- Frans Imbert-Vier, CEO d’UBCOM : la Cyber sécurité doit être intégrée dans les stratégies d’affaires des directions opérationnelles
- Nicolas Speciel, UCOPIA : le RGPD conduit les entreprises à mettre en place une stratégie de la sécurité plus holistique
- Renaud GHIA, TIXEO : Il faut revenir à l’essentiel en optant pour des technologies efficaces et reconnues comme le chiffrement de bout-en-bout
- Benoit Grunemwald, ESET : vers une montée en puissance des cyptomineurs en 2019 ?
- Michel Lanaspèze, SOPHOS : plus que jamais, la sécurité n’est pas une option
- Jacques de La Rivière & Philippe Gillet de Gatewatcher : Il est nécessaire d’anticiper les menaces
- Stéphane Estevez, Splunk : Il est nécessaire de s’équiper de technologies transversales
- Pascal Desmet, Nomios : Les outils aussi automatiques qu’ils soient, doivent être au service d’experts capables de prendre les bonnes décisions
- Jean-Philippe Kalfon, Secret Double Octopus : il faut éliminez les mots de passe des SI pour sécuriser les accès
- Guillaume Garbey, Varonis : le RGPD a légitimé des projets sécurité qui avaient été repoussés pendant de nombreuses années
- Gérôme Billois, Wavestone : 2019 sera une année de transition forte avec les 3 piliers que sont le cloud, l’agile et les API
- François-Xavier Vincent, Oodrive : La Security & Privacy by Design sont des pratiques assez naturelles chez Oodrive
- Christophe Chaubard-Willm, ASSYSTEM - BU Connect : pour limiter les risques il faut élaborer une démarche pragmatique de maitrise
- David Bizeul, CTO de SEKOIA : Nos solutions de sécurité n’hésitent pas à casser les idées reçues et surtout qui sont agréables à utiliser !
- Théodore-Michel Vrangos, I-TRACING : Les RSSI jouent u rôle clé dans les entreprises
- Vincent Meysonnet, Bitdefender : Nous continuons de travailler sur la détection et la protection avancée face à un paysage des menaces en constante évolution
- Christophe da Fonseca, Paessler AG : la détection des événements inhabituels peuvent aider à repérer des activités frauduleuses
- Pascal Le Digol, WatchGuard Technologies : Le déploiement d’outils de sécurité est un gage pour conserver un coup d’avance sur les cyber-malveillants
- Fabien Corrard, Gfi Informatique : la mise en place d’outils de sécurité permet de répondre aux mesures réglementaires
- Emmanuel Gras, ALSID : La prise de conscience de l’importance de la cybersécurité est effective
- David Grout, FireEye : Pour bien se protéger la formation, l’outillage sont clef mais l’intelligence est décisive
- Alexis Nardone, INQUEST, groupe GM Consultant : il faut entamer le chantier de la cybersécurité par des actions pragmatiques et cohérentes
- Didier Cohen, WALLIX : les entreprises doivent penser « Privacy et Security by Design » !
- Franck Mazeau, Panda Security : Un EDR est aujourd’hui indispensable
- Christophe Auberger, Fortinet : le RGPD est une opportunité et un facteur différenciant
- Hervé Rousseau, CEO d’Openminded : le FIC est l’occasion d’échanges fructueux avec l’écosystème de la cybersécurité
- Sophie Tacchi, IBM France : des compétences cyber à la préparation contre les cyberattaques
- Roland Atoui, et Ayman Khalil, Red Alert Labs : Le déploiement des IoT passe par la sécurité
- Michel Gérard, PDG de Conscio Technologies : Faites de vos collaborateurs le maillon fort de votre défense cyber
- Benoît Mangin, AEROHIVE : N’ayez pas peur de passer aux nouveaux usages et aux nouvelles technologies qui le permettent pour améliorer vos business
- Benjamin Leroux, Advens : Security-as-a-service Factory pour industrialiser vos services de Sécurité clé en main
- Bertin IT accélère sur la mise en conformité LPM et NIS en 2019
- Frédéric Braut, Tech Data : Pour déployer une sécurité efficace, il faut savoir adresser le cloud, l’hybridation des infrastructures, la gestion de la donnée ou encore les flux réseaux
- Coralie Héritier, IDNOMIC : Chacun doit œuvrer pour renforcer la confiance numérique
- Sébastien Gest, Vade Secure : Déjouer le piège au premier regard devient un défi pour l’humain…
- Eric Heddeland, Barracuda Networks : De la réponse aux menaces à la sensibilisation
- Raphael Basset ERCOM : Nos solutions de communications et collaboration réconcilient efficacité, sécurité, confidentialité et souveraineté
- Karl Buffin, Skybox Security : Simplifiez la gestion du Cyber Risk
- Marco Rottigni, Qualys : La transformation numérique et les nouvelles réglementations vont changer le rôle et la place du RSSI
- Arnaud Gallut, Ping Identity : Pensez à sécuriser vos API face à la menace croissante de fuite de données
- Christian Pijoulat, LogPoint : Automatiser les processus de sécurité est une nécessité !
- Briag Monnier, Scassi : La sécurité n’est pas une fonctionnalité ou une option, c’est un processus
- Steve Kremer, Inria : La recherche académique a un rôle majeur à jouer pour aller vers un monde plus sûr
- Kristine Kirchner, inWebo : Il n’y a plus de frein à la généralisation du MFA pour l’intégrer très en amont dans les applications
- Antoine Coutant, Systancia : L’anticipation des menaces passe par le contrôle des accès à privilège
- Matthieu Dierick, F5 : Le déploiement de services applicatifs accroît la capacité des entreprises à prospérer
- Benjamin SCHILZ, Acorus Networks : La protection DDoS ne s’improvise pas !
- Fabrice Clerc, C.E.O. de 6cure : La dématérialisation met tout le monde sur un cyber-champ de bataille