Stéphane Ankaoua, Oodrive : Avant de céder aux sirènes des technologies Il faut s’assurer que les fondamentaux de la sécurité de son organisation sont solides !
septembre 2021 par Marc Jacob
A l ’occasion des Assises de la Sécurité, Oodrive présentera sa plateforme cloud applicative et ses solutions collaboratives de partage, de signature électronique et de sauvegarde. Stéphane Ankaoua, Chief Operations Officer – Oodrive recommande aux RSSI : « avant de céder aux sirènes des technologies ou solutions à la mode, s’assurer que les fondamentaux de la sécurité de son organisation sont solides ! »
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Stéphane Ankaoua : Notre équipe commerciale présentera notre plateforme cloud applicative et nos solutions collaboratives de partage, de signature électronique et de sauvegarde. Ce sera aussi pour nous l’occasion de mettre en avant nos dernières actualités (récente acquisition de SELL&SIGN notamment).
GS Mag : Quel sera le thème de votre conférence cette année ?
Stéphane Ankaoua : Le titre est : Gestion de données sensibles dans SaaS de confiance + ouverture vers l’homologation DR : retours d’expérience
Lors des Assises 2020, une table ronde a présenté les travaux d’un groupe de travail piloté par des CISO/RSSI de différents secteurs (aéronautique, défense, énergie, nucléaire, finance…) : ce groupe de travail, auquel participait également l’ANSSI, a conclu à la faisabilité de l’homologation Diffusion Restreinte d’un système d’information incluant un service qualifié SecNumCloud.
Ce nouvel atelier propose de partager lors des Assises 2021 un retour d’expérience concret sur la mise en place d’une telle démarche d’homologation, avec Orion Ragozin (CISO Framatome) et François-Xavier Vincent (CISO Oodrive).
Ce retour d’expérience sera précédé par un témoignage de Françoise Vieille, Chargée de mission senior cybersécurité au Groupe EDF, sur l’utilisation d’une solution SaaS Oodrive qualifiée SecNumCloud pour répondre aux exigences du Group EDF relatives à la gestion des documents sensibles (niveau C3).
GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2021 ?
Stéphane Ankaoua : Indubitablement, les attaques de ransomware tiennent le haut du panier en 2021, n’épargnant aucun domaine, y compris ceux servant des besoins humains fondamentaux comme la santé – nous pensons naturellement aux annonces trop fréquentes d’hôpitaux victimes de cyberattaques – mais aussi énergie ou sécurité alimentaire. Et malgré quelques beaux succès dans la coordination de la lutte contre les cybernuisibles, le déséquilibre des forces est patent.
Concernant le Cloud en particulier, n’oublions pas la menace sur la souveraineté européenne, que représentent les grands acteurs extra-européens, au premier rang desquels les GAFAM.
L’approche (promue par les autorités françaises) consistant à faire opérer sur des infrastructures souveraines des technologies américaines permet certes de réduire le risque d’espionnage des données, mais à contrario, va impacter notre indépendance numérique. Nous avons impérativement besoin d’une industrie forte, qui nous garantissent cette indépendance. Et quand on parle du besoin d’indépendance numérique, cela prend encore plus d’importance quand il s’agit de cyber sécurité.
GS Mag : Quid des besoins des entreprises ?
Stéphane Ankaoua : Les besoins fondamentaux des entreprises sont de pouvoir travailler et se développer dans des conditions satisfaisantes de confiance et de sécurité, à des coûts acceptables à l’égard aux enjeux. Les attaques de ransomware ne sont qu’une dimension de la problématique essentielle de la protection des données les plus sensibles des entreprises : on doit pouvoir travailler sur ces données, les partager et en tirer de la valeur sans pour autant les exposer à des risques inacceptables en termes de disponibilité, d’intégrité ou de confidentialité. Il faut donc pouvoir s’appuyer sur des partenaires solides et de confiance, tels que ceux labellisés par l’ANSSI : Oodrive, OVH et 3DS Outscale.
GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?
Stéphane Ankaoua : Oodrive apporte déjà des offres SaaS d’un très haut niveau de sécurité, pour la gestion des données sensibles et le travail collaboratif : cela est démontré par la qualification SecNumCloud délivrée par l’ANSSI, que nous sommes toujours seul éditeur SaaS à détenir.
Pour aller encore plus loin, nous travaillons à la prise en compte d’une catégorie particulière de données sensibles, dites à « Diffusion Restreinte ». En effet, une règlementation particulièrement contraignante s’applique à la gestion de ces données, et à ce jour aucun service Cloud n’est formellement homologué pour la gestion en clair de ces données. Nous avons ainsi travaillé avec des acteurs particulièrement concernés par cette problématique (domaines de la défense, de l’énergie, du nucléaire, de la finance…) pour clarifier et converger sur les besoins et la manière de les prendre en compte : nous en présentons un retour d’expérience concret de mise en œuvre lors de notre atelier (mercredi 13 octobre à 15h) et notre ambition est de proposer d’ici quelques mois une solution homologable « clés en main ».
Enfin, pour mieux répondre aux attentes des acteurs de dimension européenne, nous contribuons aux travaux de l’ENISA sur la certification sécurité du Cloud (le « SecNumCloud européen ») et mettrons tout en œuvre pour, là encore, faire partie des pionniers de cette certification !
GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?
Stéphane Ankaoua : L’essentiel de nos collaborateurs disposaient déjà des moyens nécessaires à un télétravail sécurisé, même si le télétravail n’était alors pas une pratique systématisée ; nous avons rapidement complété l’équipement des personnels qui le nécessitaient et vérifié que les moyens d’accès à distance (dont le VPN) tenaient bien la charge ; et bien sûr, nous étions déjà naturellement utilisateurs des services Oodrive de travail collaboratif sécurisé ! Le télétravail est maintenant parfaitement intégré dans le quotidien professionnel de chacun, et un rappel régulier des bonnes pratiques de télétravail – particulièrement en termes de sécurité – est toutefois effectué, pour pallier le risque de baisse de vigilance vis-à-vis d’une menace toujours plus présente.
Concernant notre offre : s’agissant d’une plateforme collaborative sécurisée centrée sur la gestion de la donnée sensible, en mode SaaS, il s’agit par essence de services parfaitement adaptés aux exigences du télétravail, en apportant souplesse et sécurité, et en s’intégrant de manière fluide dans les écosystèmes applicatifs.
GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?
Stéphane Ankaoua : Bien évaluer ses risques, ce qui passe par l’explicitation de ce qui fait la valeur de l’entreprise ou de l’organisation. Cela se traduit en général par l’identification d’un ensemble de données sensibles (parfois appelées « joyaux de la couronne ») : celles dont la compromission porterait significativement atteinte aux intérêts de l’entité concernée et de son écosystème.
Une fois ses données et process clés identifiés, il s’agit de retenir les solutions adaptées à ses besoins spécifiques et à son appétit au risque, avec une attention particulière aux problématiques de confiance et de souveraineté : outre les certifications et qualifications de sécurité, cela se traduit souvent par la recherche de garanties en termes de juridictions applicables aux services touchant au cœur de la valeur de l’entreprise.
GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?
Stéphane Ankaoua : Un message en complète cohérence avec la thématique des Assises de cette année : avant de céder aux sirènes des technologies ou solutions à la mode, s’assurer que les fondamentaux de la sécurité de son organisation sont solides ! On retrouve ainsi les sujets classiques que sont la sécurisation de l’Active Directory, la gestion des identités et des accès, l’authentification multi-facteurs, l’identification et la sécurisation des données sensibles (ce qui inclut les aspects juridictionnels et de souveraineté), la maîtrise des endpoints mais aussi de son écosystème élargi (partenaires, fournisseurs…), etc., avec en fil conducteur la nécessaire culture sécurité que chacun doit incarner en cohérence avec ses missions.
Certes ce ne sont pas des sujets qui feront nécessairement rêver les Comités de Direction ; mais ceux-ci sont souvent comptables d’années de sous-investissement en sécurité, qu’il faut désormais pallier face à une menace multiforme et toujours croissante. Plus que jamais, les talents de communication et de conviction des RSSI vont être mis à contribution.
• Et nous serons à leurs côtés pour les conseiller, les accompagner et leur mettre à disposition les solutions robustes et labellisées.
Articles connexes:
- Laurent Cayatte, Metsys : les RSSI et DSI ont besoin d’être accompagnés sur les phases d’audit et en gestion de crise
- David Grout, Fireeye Mandiant : Les RSSI doivent capable de se mesurer, de comparer leurs capacités à la menace réelle sur leur activité
- Cyril Gollain, Brainwave : Les technologies d’Identity Analytics pour répondre aux enjeux de cybersécurité de façon transverse
- Laurent Tombois, Bitdefender : La corrélation des événements au-delà des limites d’un seul endpoint est cruciale pour la cyber-résilience
- Giuseppe Brizio, Qualys Technologies SA : La consolidation des solutions verticales permet une analyse exhaustive de la surface d’attaque
- Valentin Jangwa et Nicolas Liard Bitglass : les entreprises doivent adopter un modèle « Zero-Trust » pour limiter les risques
- Théodore-Michel Vrangos, I-TRACING Group : Face aux crises, le RSSI est en première ligne il doit s’entourer d’experts en cybersécurité
- Hervé Liotaud, SailPoint : l’identité doit être au centre de toute stratégie de sécurité
- Olivier Spielmann, Kudelski Security : une préparation et une planification rigoureuses sont primordiales pour aborder une crise
- Thomas Briend, Vade : l’humain, l’ultime rempart pour limiter les risques
- Loïc Guézo, Proofpoint : la formation régulière, pierre angulaire d’une défense réussie
- Fabrice Clerc, C.E.O. de 6cure : Face aux cybercriminels, la disponibilité est désormais un enjeu majeur !
- Daniel Rezlan et Daniel Benabou, IDECSI : impliquez vos collaborateurs dans la protection de leurs données
- Rémi Fournier, DG de SYNETIS : Il est indispensable de travailler avec l’ensemble des collaborateurs pour limiter les cyber-risque
- Benjamin Leroux, Advens : Il faut que les RSSI et les professionnelles de la cybersécurité se protègent du stress important lié à la nature de ce métier
- Jacques de la Rivière, Gatewatcher : Les RSSI souhaitent interconnecter tous leurs outils de sécurité pour avoir une réponse globale et rapide
- Philippe Humeau, Président de CrowdSec : Notre approche est que l’on est fort tous ensemble
- Frédéric Grelot, GLIMPS : Les entreprises doivent porter leurs efforts sur la détection, la caractérisation et la réponse à incident
- Maxime Alay-Eddine, Cyberwatch : Les RSSI doivent étudier de près les solutions du groupement Hexatrust
- Blandine Delaporte, SentinelOne : les technologies d’IA et d’analyse comportementale dans les solutions de cybersécurité sont une aide essentielle pour les RSSI
- Nicolas Berchoux, APIXIT : De la sécurité opérationnelle à la sécurité Pro-active
- Nicolas Arpagian, Trend Micro : L’importance des cybermenaces justifie d’investir dans les moyens de détection au plus près des équipements
- Florent Embarek, BlackBerry : Nous encourageons nos clients à penser au-delà des solutions traditionnelles, à réduire la complexité et à limiter le coût de la sécurité
- Hervé Ysnel, CGI Business Consulting : Le « secure by design » doit suivre des règles et des process solides et supportés par des solutions de sécurité
- Olivier Perroquin, inWebo : L’authentification forte est un rempart efficace contre les intrusions
- Gérôme Billois, Wavestone : La professionnalisation de la filière et une gouvernance efficace deviennent des enjeux incontournables
- Frédéric Benichou, Armis : Les entreprises ne doivent pas continuer à ignorer les zones d’ombre des infrastructures
- Ghaleb Zekri, VMware : La course à l’adoption du Cloud a offert aux dirigeants d’entreprises l’occasion de revoir leurs approches en matière de cybersécurité
- Franck Zerbib, Google Cloud : Nous souhaitons favoriser une approche en confiance du cloud
- Roxanne Deslandes, Citalid Cybersécurité : Les RSSI et les acteurs de la filière de l’assurance doivent travailler de concert
- Abdel El Bachtany, Ivanti : Tant que des pirates sophistiqués continueront à attaquer les organisations, nous continuerons à renforcer nos fonctions de sécurité !
- Eric Fries, Allentis : Les équipes de sécurité ont besoin d’accompagnement de tous les instants pour faire face aux contraintes
- Nicolas Groh, Rubrik : Notre plateforme réconcilie les DSI et les RSSI autour de la question de la sécurité et de la sauvegarde des données
- Stéphane Hauray, Tufin Technologies : face au cyber-risques, l’automatisation des process est un must
- Mark Arena, Intel 471 : Le renseignement devrait être le moteur dans un programme de sécurité de l’information
- Boris Lecoeur, Cloudflare France : le RSSI doit réduire ses charges de travail opérationnelles pour se concentrer sur la stratégie de sa cybersécurité
- Dagobert Levy, Tanium : Les équipes informatiques auront une plus grande responsabilité en matière de prévention