Sébastien Faivre, Brainwave GRC : Analytics et contrôle continu, accélérateurs clés de votre transformation digitale
septembre 2017 par Marc Jacob
Pour Brainwave GRC, ancien lauréat du prix des Assises de la Sécurité, cet événement est un moment particulier pour présenter toutes les évolutions de son offre en particulier dans le Cloud. Pour Sébastien Faivre CTO, General Manager
de Brainwave analytics et contrôle continu sont des accélérateurs clés de la transformation digitale des entreprise.
GS Mag : Qu’allez-vous présenter aux Assises de la Sécurité ?
Sébastien Faivre : Les Assises de la Sécurité représentent un moment particulier pour Brainwave GRC. Au-delà de l’importance de l’événement au sein de la communauté française des RSSI, et plus largement de la sécurité IT, les Assises ont permis de lancer l’activité de Brainwave GRC, d’abord en France puis plus largement à l’international, ayant obtenu le prix des Assises en 2011. La visibilité de l’entreprise à l’international a ensuite été consacrée par l’attribution du label Gartner Cool Vendor en 2013.
Brainwave GRC a depuis beaucoup évolué et détient désormais des locaux en France, en Belgique, en Angleterre ainsi qu’au Canada. L’année 2016-2017 a été une année riche en projets pour Brainwave GRC avec un développement accru en Europe et aux Etats-Unis. Aujourd’hui, nous prenons en charge des déploiements qui impliquent plusieurs centaines de milliers d’identités et ce, à la fois en Europe et en Amérique du Nord.
Satisfaits, nos clients tels qu’Acxiom aux Etats-Unis ou encore Crédit Agricole Technologie et Services en France communiquent sur le succès de ces projets et leurs témoignages peuvent d’ailleurs être visionnés à loisir sur notre site web. (www.brainwavegrc.com)
La taille et le nombre de projets que nous prenons en charge aujourd’hui, ainsi que le foisonnement de nouvelles solutions, démontre la maturité et la progression du marché de la sécurité sur les thématiques de l’analyse et du contrôle des accès applicatifs.
Aujourd’hui, dans la continuité de l’accompagnement que nous fournissons à nos clients pour répondre à leurs besoins, nous présentons l’offre Brainwave GRC complète aux Assises de la Sécurité :
Cartographie des personnes et de leurs accès applicatifs
Cartographie, enrichissement et classification des droits d’accès aux données
Automatisation des contrôles de sécurité applicatifs
Automatisation des contrôles de séparation des taches dans les processus métiers et les ERP
Processus de revue des droits aux applications, comptes, systèmes ainsi qu’aux données
Analyse comportementale des utilisateurs sur les actifs critiques de l’entreprise
GS Mag : quel va être le thème de votre conférence ?
Sébastien Faivre : Cette année, l’atelier Brainwave GRC est l’occasion de présenter le retour d’expérience de la Caisse Nationale d’Assurance Vieillesse (CNAV) sur un projet de gouvernance des identités mené avec la solution Brainwave Identity GRC.
Ce projet de grande ampleur – plus de 100 000 identités sur un périmètre de plusieurs dizaines d’applications – a permis de déployer un système complet de contrôle, de séparation des tâches (SoD) et de revue des droits d’accès aux applications critiques de la CNAV.
Le projet CNAV est aujourd’hui emblématique du portefeuille clients Brainwave GRC. Le périmètre des projets que nous prenons en charge ne cesse de s’agrandir, à la fois en Europe et en Amérique du Nord. Cette forte volumétrie est d’ailleurs souvent ce qui fait la différence en notre faveur.
Au-delà des secteurs de la banque et de l’assurance, nous sommes aujourd’hui présents dans un grand nombre de secteurs d’activité à l’image de la CNAV et du secteur public, pour mener des projets du plus simple avec l’inventaire des droits d’accès au plus complexe avec l’analyse de l’impact financier des risques avérés de fraude par exemple.
GS Mag : Comment va évoluer votre offre pour 2017/2018 ?
Sébastien Faivre : L’année à venir doit consacrer l’évolution des solutions cloud Brainwave GRC, créées afin d’accompagner au mieux les entreprises dans leur transformation digitale et le transfert dans le cloud d’un grand nombre de processus métiers et d’applications.
Il s’agit donc pour les entreprises de continuer à assurer la sécurité des accès à leurs actifs et leur mise en conformité avec leurs applications à la fois sur site et dans le cloud. Les solutions Brainwave GRC, et en particulier notre offre cloud, permettent aux entreprises de relever ces défis avec facilité.
GS Mag : Comment votre produt permet aux entreprises de répodnre aux nouveau besoins de compliance issue de la LPM, de la DIRECTIVE NIS ou encore du RGPD ?
Sébastien Faivre : Depuis ses débuts, Brainwave GRC aide les entreprises dans leur mise en conformité et à répondre aux exigences réglementaires accrues en instaurant notamment un système de contrôle continu.
Aujourd’hui, avec l’augmentation des problèmes de sécurité et l’intensification des exigences règlementaires dans tous les secteurs d’activité ou presque, les exigences en matière d’audit et de contrôle s’intensifient en conséquence. Les contraintes de conformité sont désormais impulsées et tirées par les métiers et non plus par la sécurité informatique sur le plan infrastructurel.
Un exemple ? Le RGPD qui, bien au-delà de l’infrastructure IT, requiert de savoir qui manipule les données au sein de l’entreprise, qui est propriétaire de tel répertoire partagé, et donc implique de lier étroitement métiers et sécurité des données et des applications.
C’est cette vision, adoptée dès nos débuts et avant-gardiste à l’époque, qui a permis à Brainwave GRC d’être récompensé aux Assises de la sécurité en 2011 ou encore d’être Cool Vendor Gartner en 2013. Nous sommes donc heureux de voir que de plus en plus d’entreprises se tournent vers l’analyse et le contrôle continu afin d’opérer au mieux leur mise en conformité face à l’intensification des exigences réglementaires et l’augmentation des risques.
GS Mag : Quelle sera votre stratégie commerciale pour cette année ?
Sébastien Faivre : Notre objectif est clair, nous souhaitons démocratiser les fonctionnalités d’analyse et de contrôle car ce sont désormais les nouveaux piliers de la sécurité applicative. Brainwave GRC est aujourd’hui l’acteur de référence en matière d’analyse de la sécurité et contrôle des accès au SI et nous souhaitons mettre cette expertise au service du plus grand nombre d’entreprises, toutes confrontées à la montée en puissance des problèmes de sécurité et la multiplication des exigences réglementaires au niveau national et international.
Il s’agit donc, avant tout, de savoir qui travaille dans l’entreprise, qui peut accéder aux actifs de l’organisation mais également qui fait quoi c’est-à-dire les comportements utilisateurs au sein du système d’information.
Brainwave Identity GRC s’appuie sur des approches à la fois statistiques et de type machine-learning afin de détecter des comportements d’utilisateurs qui peuvent être considérés comme étant anormaux ou atypiques, soit par rapport à leur comportement habituel soit par rapport au comportement de leur équipe. Ces approches d’apprentissage non-supervisées aident ainsi les clients Brainwave GRC à anticiper les risques de fraude, de fuite de données et de cyber sécurité.
De nombreuses annonces produit essaiment aujourd’hui, lancées par des acteurs qui souhaitent se positionner désormais sur ce sujet. Pour tous ceux qui ne souhaitent pas se contenter d’une première version de solution sur ce sujet, Brainwave GRC a déployé ce type d’analyses depuis de nombreuses années chez ses clients et est aujourd’hui la référence en matière d’analyse des comportements utilisateurs.
Concrètement, la démocratisation des fonctionnalités de contrôle et d’analyse que nous impulsons se réalise via la Marketplace Brainwave GRC. Sur cette plateforme web, vous pouvez trouver plus de 60 add-ons et offres pré-packagées (AD, SAP, Amazon AWS, Salesforce, ServiceNow, Google Apps, Okta, …) pour et par la communauté Brainwave GRC, dont nos partenaires et clients.
Notre développement pour l’année à venir, en plus de cette démarche de démocratisation, sera également axé sur nos offres cloud prêtes à l’emploi sur des sujets tels qu’Active Directory.
GS Mag : Quel est votre message aux RSSI ?
Sébastien Faivre : Afin que les organisations puissent accélérer leur transformation digitale sans y sacrifier la sécurité de leurs actifs, le nouvel enjeu phare est le contrôle et la sécurisation des droits d’accès dans les systèmes cibles.
Brainwave GRC vous aide à construire ce cockpit de pilotage nécessaire aujourd’hui pour bénéficier d’une visibilité complète sur les individus travaillant au sein de l’entreprise ainsi que leurs droits et comportements pour tous les systèmes informatiques (on-prem et dans le cloud).
L’approche type de Brainwave GRC est à la fois plus pragmatique et beaucoup plus rapide que les approches historiques de gestion des identités, aussi si vous souhaitez accompagner et accélérer les initiatives de transformation digitale de votre entreprise, n’hésitez pas à étudier les opportunités issues de cette approche centrée sur l’analyse et le contrôle.
Articles connexes:
- Emmanuel Gras, Alsid : La sécurisation de l’Active Directory doit être une priorité pour les RSSI
- Jean-Nicolas Piotrowski, PDG d’ITrust : La cybersécurité, c’est comme l’hygiène, il faut s’en occuper tous les jours !
- Gerald Delplace, Guardicore : Nous détectons les attaques sophistiquées en quelques minutes
- Sylvain Conchon, CONIX : La cybersécurité nécessite une innovation permanente
- Ramyan Selvam, Juniper Networks : il faut protéger le réseau avec plus d’automatisation
- Christophe Badot, Varonis France SAS : Il est nécessaire d’avoir une roadmap de sécurité
- Eric Derouet, Président de Synetis : Nous privilégions les partenariats sur la durée avec nos clients
- Christian Hindre, Flexera : La prévention reste moins chère que la remédiation !
- Xavier Lefaucheux, VP SALES de Wallix : Wallix est le chemin le plus court vers la conformité
- Benjamin Leroux, Advens : La cybersécurité nécessite un alignement sur les besoins métiers
- Romain Quinat, Nomios : Les outils intégrants de l’intelligence artificielle peuvent être déployés sans crainte des faux positifs
- Laurent Hausermann, Sentryo : les projets de cybersécurité ICS vont s’imposer comme une nécessité pour les RSSI
- Eric Perraudeau, Qualys : le “Security by design” devient accessible à toutes les entreprises
- Benoît Grunemwald, ESET France : Le couple chiffrement/antivirus pour mieux répondre aux exigences règlementaire
- Alexandre Souillé, Président d’Olfeo : optez pour le meilleur pour chaque élément de sécurité !
- Hervé Rousseau, OPENMINDED : le RGPD va être une formidable opportunité pour les RSSI d’atteindre les directions générales…
- Moncef Zid, Arbor Networks : L’automatisation DDoS intelligente est plus efficace que l’automatisation via des ‘boîtes noires’
- Christophe Grangeon, Usercube : Pour que l’IAM devienne enfin un projet maitrisable
- David Grout, FireEye : Une bonne stratégie de sécuriser doit reposer sur la compréhension des menaces, les Technologies et un bon accompagnement
- Frank Charvet, Bitdefender : une plate-forme de protection fournissant la sécurité et la visibilité doit être au sommet des priorités des RSSI
- Stéphane Johnson, Ixia : Déployer une architecture qui donne une visibilité de bout en bout est le premier pas vers la sécurisation des réseaux
- Hervé Liotaud, SailPoint : La gestion des identités doit être considérée comme prioritaire à toute défense périmétrique
- Matthieu Bonenfant, Stormshield : les professionnels de la cybersécurité doivent unir leurs forces en Europe
- Eric Heddeland, Barracuda Networks : la sécurité à l’ère du Cloud
- Théodore-Michel Vrangos, I-TRACING : les RSSI jouent un rôle clé dans les entreprises
- Julien Boulnois, CA Technologies : La place de la sécurité dans la démarche DevOps est un enjeu majeur
- Fabrice Clerc, 6cure : Les RSSI doivent relever le défi du chantage à la disponibilité
- Vincent Maury DenyAll, a Rohde & Schwarz Cybersecurity Company : les RSSIs doivent redoubler d’ingéniosité pour réduire les risques commerciaux tout en préservant la simplicité d’utilisation de leurs applications et Web Services
- Yann Bruneau, Newlode : la mouvance DevOps est une opportunité incroyable pour changer les mentalités
- Christophe Jourdet, NTT Security : la sécurité reste le maillon de la transformation numérique
- Ghaleb Zekri, VMware : Le challenge des RSSI est de supporter la transformation numérique
- Serge Niango, Citrix France : Les RSSI doivent s’ouvrir à de nouvelles stratégies de sécurisation
- Frédéric Saulet, LogPoint : Nous souhaitons aider es RSSI à atteindre la nécessaire conformité aux règles de sécurité
- Alain Dubas, Cisco : Pour combattre les nouvelles menaces il faut être proactif
- Guillaume Massé, Rapid7 : les RSSI doivent s’armer d’une meilleure visibilité pour avoir le contrôle et faire avancer leur entreprise
- Florent Fortuné, Forcepoint : Notre approche de la sécurité est axée sur l’humain
- Edouard de Rémur,Oodrive : la sécurité est LE véritable enjeu actuel en matière de gestion de données
- Sihem Valentino, IBM France : les RSSI doivent contribuer aux initiatives de transformation de l’entreprise et de son SI pour élaborer la stratégie cyber
- Christophe Jolly, Vectra : l’intelligence artificielle est la réponse pour parer les malwares
- Christophe Corne, Systancia : un bon produit de sécurité doit allier simplicité et sécurité
- Thierry Bardy, Président d’IMS Networks : « Rendre le monde numérique plus sûr »
- Olivier Quiniou, F-Secure : Nos solutions aident les entreprises à répondre aux exigences du RGPD
- Gérôme Billois, Wavestone : le RSSI doit devenir le chef d’orchestre de programme avec des budgets importants
- Jean Larroumets, EGERIE : les RSSI ont l’obligation de démontrer à leur direction la bonne gestion des risques et qu’ils contrôlent la situation
- Emmanuel Jacque, SAS Institute : La sécurité doit être vue de façon globale et transverse
- Lucie Loos, Nameshield : Notre priorité, assister et accompagner les RSSI dans la mise en place de leur stratégie de sécurité
- Jean-Christophe Mathieu, Siemens en France : Notre certification ANSSI est un atout indéniable
- Laurent Heslault, Symantec France : les entreprises doivent mettre en place une politique de sécurité forte pour répondre aux législations
- Leroy Terrelonge, Flashpoint : le renseignement approfondi est une solution pour lever les incertitudes sur les menaces
- Loïc Guezo, Trend Micro : « Maintenir le passé et se préparer au futur ! »
- Raphaël Basset, Ercom : Nous réconcilions efficacité, sécurité, ouverture et souveraineté
- Jan Van Vliet, Digital Guardian : Nous protégeons vos données sensibles
- Bertrand de Labrouhe, Imperva : les entreprises ne doivent plus attendre de subir une attaque pour se préparer
- Thierry Brengard, Level 3 Communications : Les RSSI doivent adopter une stratégie de sécurité basée sur le réseau
- Frédéric Julhes, Airbus Defence and Space : l’innovation fait partie de notre ADN
- Marc Behar, XMCO : Nous souhaitons établir des relations de confiance avec nos clients
- Béatrice Bacconnet, Bertin IT : La protection du patrimoine informationnel des entreprises requiert un travail de surveillance quotidien
- Charles Rami, Proofpoint : détectez et bloquez les menaces avant qu’elles n’atteignent les utilisateurs
- Thierry Bettini, Ilex International : concilier sécurité, simplicité et innovation technologique
- Christophe Malapris, Vade Secure : l’email, principale source des incidents de sécurité en entreprises
- Pascal Beurel, Gigamon : il faut redonner le contrôle aux défenseurs
- Jean-François Pruvot, CyberArk : les usages Cloud & DevOps induisent de nouveaux risques
- Pierre Langlois, Silver Peak : connectez vos bureaux distants en toute sécurité
- David Adde, Avanade : Cloud & SaaS nécessitent une bonne appréciation des risques
- Jean-Charles Labbat, Radware : L’algorithme en logique floue et l’IA ouvrent pour répondre au challenge des attaques sur les IOT
- Frédéric Benichou, SentinelOne : Nous sécurisons les Endpoint
- Joël Mollo, Skyhigh Networks : le Cloud peut être sécurisé mais organisant les procédures