Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vincent Merlin, Proofpoint : l’humain doit être au centre des préoccupations des RSSI et au centre des stratégies de toutes les organisations

octobre 2019 par Marc Jacob

Lors des Assises de la Sécurité, Proofproint insistera plus que jamais sur l’importance du facteur humain dans les stratégies de cybersécurité. En effet, selon Vincent Merlin, Vice-Président, Marketing, International de Proofpoint plus de 99% des attaques nécessitent une action humaine pour s’exécuter. Il estime donc que l’humain doit être au centre des préoccupations des RSSI et au centre des stratégies de toutes les organisations.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Vincent Merlin : Les Assises de la Sécurité seront cette année l’occasion d’insister plus que jamais sur l’importance du facteur humain dans les stratégies de cybersécurité. Alors que plus de 99 % des cyberattaques nécessitent une action humaine pour s’exécuter, faisant des individus la dernière ligne de défense, très peu d’organisations investissent réellement dans la formation en cybersécurité de leurs collaborateurs. C’est un vrai paradoxe !

GS Mag : Quel sera le thème de votre conférence cette année ?

Vincent Merlin : Ryan Kalember, Vice-Président Exécutif de la stratégie Cybersécurité de Proofpoint expliquera « Pourquoi les cybercriminels en savent plus que vous sur vos employés ? », le 11 octobre à 9h.
Aujourd’hui, les cybercriminels ciblent les employés ayant accès à l’information dont ils ont besoin par le biais d’attaques hautement sophistiquées et personnalisées. Ces cibles sont connues sous le nom de « VAP » (Very Attacked People) et ne sont pas forcément les cibles auxquelles on pourrait penser ! Cette conférence permettra d’expliquer comment les cybercriminels utilisent deux des outils d’information les plus puissants - LinkedIn et Google - pour effectuer des reconnaissances sur des cibles potentielles et préparer leurs attaques.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2019 ?

Vincent Merlin : L’évolution des menaces dans le cloud est une tendance forte, puisque 85 % des organisations ont subi au moins une cyberattaque via le cloud au cours du 1er semestre 2019. Durant cette période, plus de 400 000 tentatives de connexions non autorisées (sur plus de 15 millions observées) ont abouti. Et aucune industrie n’a été épargnée, puisque dans 12 des 14 secteurs d’activité étudiés, les attaquants ont ciblé au moins 80 % des organisations.

La fraude au nom de domaine est également une menace majeure. Le nombre d’enregistrements de noms de domaines frauduleux a en effet connu une hausse de 11% en un an. Un nom de domaine sur quatre dispose de certificats de sécurité ; c’est bien plus que ce que l’on peut observer dans le paysage global des domaines. Or, de nombreux internautes les assimilent de ce fait à tort comme des domaines légitimes et sûrs. Et toutes les entreprises sont concernées, une récente analyse ayant en effet permis de révéler que plus d’une entreprise du CAC 40 sur deux reste exposée au risque de fraude par email !

Les chercheurs Proofpoint analysent chaque jour plusieurs milliards de messages email, dans le cloud et sur les réseaux sociaux pour surveiller l’évolution du paysage de la menace et aider les organisations de toutes tailles à trouver les solutions les plus appropriées pour les contrer.

GS Mag : Quid des besoins des entreprises ?

Vincent Merlin : Une défense à plusieurs niveaux est primordiale pour protéger efficacement les collaborateurs et leurs partenaires contre la fraude par email.

Concernant la fraude au nom de domaine, les besoins passent tout d’abord par une authentification email avec le protocole DMARC, tel que recommandé par l’ANSSI, qui permet de bloquer toutes les attaques qui usurpent les domaines de confiance. Ensuite, effectuer une analyse du contenu et du contexte des emails frauduleux pour arrêter l’usurpation d’identité et de domaines. Enfin, identifier et signaler automatiquement les domaines potentiellement à risque enregistrés par des fraudeurs.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Vincent Merlin : Nous accompagnons l’évolution de nouveaux modèles de sécurisation tel que le Zero Trust. Cette approche nous permet de créer une vision globale de la sécurité, pouvant s’adapter à la façon dont les menaces et l’infrastructure évoluent : vers le cloud. Elle nous permet de nous concentrer sur notre approche centrée sur les personnes, où les moyens de défense en matière de cybersécurité couvrent tous les aspects du risque pour l’utilisateur final. Cela signifie réduire la vulnérabilité des utilisateurs, prévenir les attaques qui les ciblent, leur apprendre à se défendre, surveiller et gérer leurs privilèges réseau pour empêcher l’accès non autorisé à des informations sensibles.

Plus tôt cette année, nous avons d’ailleurs conclu une entente définitive en vue d’acquérir Meta Networks, une entreprise novatrice en matière d’accès réseau Zero Trust (ZTNA). En combinant la technologie innovante d’accès réseau Zero Trust de Meta Networks avec nos capacités de sécurité centrées sur les personnes, les processus de contrôle d’accès des employés et des prestataires aux applications sur site, sur le cloud et grand public seront simplifiés.

GS Mag : La sécurité et la privacy « by design » sont devenues incontournables aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?

Vincent Merlin : En tant que fournisseur de solution logicielle cloud qui traitent des données personnelles, nous avons pris en compte toutes les mesures nécessaires pour être en conformité avec les réglementations en vigueur (type RGPD).
Plusieurs de nos solutions peuvent être utilisées comme partie intégrante des processus de mise en conformité. Nous avons également par exemple des modules RGPD au sein de notre offre de formation et de sensibilisation à destination de l’ensemble des utilisateurs.

GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?

Vincent Merlin : Pour réduire les risques liés au facteur humain, les organisations ont besoin d’une approche holistique de cybersécurité centrée sur l’humain, incluant un programme de formation efficace et différents niveaux de défense auprès des utilisateurs les plus visés. A ce titre, nous avons développé une offre intégrée combinant sécurisation des moyens de communication et formation.

GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?

Vincent Merlin : L’humain doit être au centre des préoccupations des RSSI et au centre des stratégies de toutes les organisations. Il est crucial que chaque collaborateur au sein de l’entreprise puisse être formé pour identifier plus facilement les risques potentiels afin d’y faire face plus efficacement.




Voir les articles précédents

    

Voir les articles suivants