Philippe Humeau NBS System : il est possible de défendre ses applicatifs
août 2015 par Marc Jacob
Pour sa première participation aux Assises de la Sécurité, NBS System présentera d’une part ses services de tests d’Intrusion et d’autre part son offre d’infogérance de serveurs et de sites qui inclut une « stack » de sécurité : CerberHost, qui sécurise l’applicatif de nos clients à 99,9%. Avec cette dernière offre Philippe Humeau, CEO de NBS System estime qu’il est possible de défendre ses applicatifs.
Global Security Mag : C’est votre première participation aux Assises de la Sécurité, pourquoi venir à cet événement ?
Philippe Humeau : Les Assises de la Sécurité sont un salon qui a une longue histoire et qui reste, à l’heure actuelle, l’un des plus importants de France pour ce qui concerne la sécurité informatique, avec plusieurs centaines de RSSI qui le visitent chaque année. Notre société proposant des services dans ce domaine, il nous a paru logique d’y participer quand nos moyens nous l’ont permis.
GS Mag : Pouvez-vous nous présenter votre entreprise et ses produits ?
Philippe Humeau : NBS System propose deux services différents :
• Le test d’intrusion, qui, avec l’audit de code, représente notre savoir-faire pour identifier les failles de sécurité.
• L’infogérance de serveurs et de sites pour nos clients. Cette offre est particulière comparée à celle de nos confrères, car nous proposons une « stack » de sécurité unique : CerberHost, qui sécurise l’applicatif de nos clients à 99,9%. Cette stack est disponible sur notre propre Cloud ou sur Amazon AWS.
GS Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Philippe Humeau : CerberHost est notre service phare, sur lequel la société est « All in » comme disent les joueurs de poker. Nous misons tout dessus car il y a 4 ans (quand nous avons commencé la R&D de CerberHost), nous étions persuadés que la sécurité informatique, en ligne particulièrement, deviendrait un problème majeur.
Les tests d’intrusion que nous menions jour après jour nous montraient que même les plus grandes sociétés étaient très démunies contre ces attaques Web et qu’il fallait une réponse crédible à ces problématiques.
CerberHost est né de ce savoir-faire intrusif, à partir duquel nous avons bâti un bastion que nos propres pentesters ne pourraient pas compromettre. Maintenant que l’actualité a montré que des géants comme eBay, Sony, Adobe, JP Morgan ou plus récemment TV5 monde ou les 20 000 sites de « l’OP France » ne sont pas à l’abri, nous avons une forte traction et souhaitons présenter au public des Assises de la Sécurité cette facette de notre société : la défense.
GS Mag : Comment va évoluer votre offre ?
Philippe Humeau : CerberHost va évoluer pour continuer à s’adapter aux nouvelles méthodes d’attaque qui émergent parfois (bien que cela soit rare), apporter plus de reporting « graphique » et intégrer de nouveaux composants à la liste de ses 15 couches de protection déjà existantes.
Nous sommes aux antipodes des vidéos racoleuses sur la sécurité avec des hackers masqués qui se font bloquer par les gentils hackers de telle ou telle société et où, au final, la société utilise les mêmes composants troués, un certificat SSL et un backup et annonce au client qu’il est sécurisé…
Notre méthode consiste à analyser le parc logiciel de nos clients, leurs softs et extensions, et à avoir des composants intelligents, paramétrés au plus proche de l’applicatif. Ces deux éléments vont travailler dynamiquement ensemble, s’informant les uns les autres des évènements survenant, pour apporter dynamiquement une réponse à chaque menace. Notre SoC (Security Operation Center) apporte ensuite les réponses humaines si nécessaire, et établit une roadmap pour le développement de CerberHost.
Nous faisons évoluer l’offre pour qu’elle soit compatible avec Amazon et pensons peut-être la porter sur Openstack.
GS Mag : Quelle sera votre stratégie commerciale pour 2015/16 ?
Philippe Humeau : Dominer le monde et la banlieue galactique proche ?
Plus réalistement, nous souhaitons que l’offre perce et trouve son public, les grands comptes. Nous avons déjà de belles signatures et des entreprises françaises ou internationales pesant des milliards qui sont clientes, le but, ici, est que les autres apprennent que nous existons et que la très haute sécurité existe.
GS Mag : Quel est votre message aux RSSI ?
Philippe Humeau : Messieurs, nous savons héberger et infogérer vos applicatifs sensibles en Java ou PHP sur un Cloud de très haute sécurité. Il a été testé par de nombreux pirates, par HSC, par l’ANSSI et nombres d’autres experts très sérieux mais personne n’a jamais réussi à compromettre un site hébergé sur CerberHost. Nous espérons que vous souhaiterez nous rencontrer pour en parler, car il est possible de défendre ses applicatifs, mais ce ne sont pas les méthodes habituelles (qui donnent les résultats habituels que l’on connaît) qui vous y aideront.
Articles connexes:
- Cercle de la sécurité : Elevator Pitch, 4 entreprises pour un prix du public
- Emmanuel Meriot, Darktrace France : « L’Enterprise Immune System », une nouvelle catégorie de cyber défense
- Ludovic Poitou, ForgeRock France : l’identité est au centre de tout !
- Pierre Calais, Stormshield : Accompagner la transition et l’externalisation du SI vers le Cloud tout en gardant la maîtrise de sa sécurité, c’est possible !
- Sid-Ahmed Lazizi, MobileIron : Les salariés doivent prendre conscience des conséquences des failles de sécurité
- Emmanuel Macé, Security Expert, Akamai : Les utilisateurs doivent être remis au cœur de la stratégie de sécurité
- Jean-Noel De Galzain, Dominique Meurisse et François Lacas, WALLIX : Wallix AdminBastion invente la solution agile et pragmatique de Privileged Access Management
- Sylvain Conchon, CONIX : les RSSI doivent sortir des sentiers battus et innover pour mieux parer les menaces
- Gilles Castéran, Directeur Général d’Arismore : La confiance numérique passe par la gestion des accès et des identités
- Frédéric Charpentier, XMCO : Notre service de Cyber-Surveillance est un véritable radar pour les RSSI
- Arnaud Cassagne, Nomios : Les entreprises doivent miser sur des experts sécurité transverses
- Laurent Gautier, Président d’Ilex International : freiner la transformation digitale des entreprises par crainte des menaces serait une erreur !
- Laurent Maury, Thales : Les RSSI ne doivent pas rester seuls
- Fabrice Clerc, Président de 6cure : face aux nouvelles menaces il faut mettre en place des stratégies de neutralisation collaboratives
- Sébastien Faivre, DG de Brainwave : Il est nécessaire de restreindre l’accès aux applications et aux données à ce qui est légitime
- Benoit Grunemwald, ESET France : Nous souhaitons répondre aux nouvelles formes de menaces
- Loïc Guezo, Trend Micro : la sécurité doit être appréhendée comme un risque métier nécessitant d’impliquer la direction générale
- Stéphane Castagné, Barracuda Networks : Nos solutions prônent la Simplicité, la performance et un ROI prévisible
- Frank Lyonnet, Riverbed Technology : Performance et sécurité ne sont pas antinomiques !
- Marc Cierpisz, Econocom : Les RSSI sont au cœur de la transformation numérique
- Frédéric Saulet, LogPoint : Gérer sans effort le Big Data avec notre outil SIEM
- Leonardo L’ecaros, AirWatch, la mobilité comme facteur de productivité
- Pascal Mavric, SPIE Communications : Les entreprises doivent infléchir leur approche de la sécurité en silo
- Frédéric Thauvin et Franck Trognée, HID Global Identity Assurance - a business unit of HID Global : les entreprises doivent réadapter leur stratégie de mobilité en prenant en compte l’authentification forte
- Stéphane Dahan, Securiview : Rapprochez-vous des métiers et adoptez une « Saine Paranoïa »
- Arnaud Casali, Jaguar Network : optez pour une approche systémique des infrastructures de sécurité
- Dimitri Perret, Vade Retro Technology : sécurité et expérience utilisateur peuvent être compatibles !
- Marylise Jacottin, NTT Com Security : ayez conscience de votre exposition aux risques
- Eric Derouet, SYNETIS : RSSI, communiquez et démontrez !