Cybersécurité : innover pour la cyber-résilience
CIO a organisé une matinée « Cybersécurité : innover pour la cyber-résilience : Intégrer la sécurité dès la conception à l'heure du RGPD » le 27 mars 2019 au Centre d'affaires Paris Trocadéro en partenariat avec Bouygues Télécom Entreprises, Darktrace, Netwrix, Okta, OneTrust, Syncsort et Telefonica Business Solutions ainsi que deux clubs, le CESIN et le CLUSIF.
PublicitéSi la cyber-résilience est une condition indispensable au fonctionnement même des entreprises, les bonnes pratiques pour la garantir sont loin d'être généralisées. C'est ce que l'étude Comment répondre simultanément aux cybermenaces et aux exigences de la réglementation ?, réalisée par CIO, a une nouvelle fois démontré. Ses résultats ont été présentés en ouverture de la matinée « Cybersécurité : innover pour la cyber-résilience : Intégrer la sécurité dès la conception à l'heure du RGPD » le 27 mars 2019 au Centre d'affaires Paris Trocadéro. Cette CIO.Conférence a été réalisée en partenariat avec Bouygues Télécom Entreprises, Darktrace, Netwrix, Okta, OneTrust, Syncsort et Telefonica Business Solutions ainsi que deux clubs, le CESIN et le CLUSIF.
Suite à l'étude Comment répondre simultanément aux cybermenaces et aux exigences de la réglementation ?, trois thèmes particuliers doivent faire l'objet d'un véritable travail d'évangélisation. Le premier est la conduite de projets agiles. L'intégration de la sécurité à chaque sprint est une nécessité si l'on veut que le projet soit véritablement agile jusqu'à son terme, son déploiement. Le deuxième est bien sûr le cloud, exemple typique du dépassement de l'approche périmétrique de la sécurité. Enfin et surtout, la sécurité intégrée dès la conception (security by design) est encore peu fréquente alors même que c'est une exigence réglementaire dès lors que des données personnelles sont traitées. Un an après l'entrée en vigueur du RGPD, c'est dramatique. Ces sujets ont bien sûr été largement abordés au fil des interventions tant des experts que des témoins.
Savoir réagir dans les délais réglementaires
« Élaboration d'un plan d'action de 72 heures en cas d'incident et de violation en vertu du RGPD » : telle était l'intervention de Victoria Gardin, Ingénieur Solution chez OneTrust.
La réglementation RGPD implique notamment de savoir notifier tout incident sur des données personnelles dans un délai très court : 72 heures. Savoir respecter ce délai était au coeur de l'intervention de Victoria Gardin, Ingénieur Solution chez OneTrust : « Élaboration d'un plan d'action de 72 heures en cas d'incident et de violation en vertu du RGPD ». Comme elle l'a rappelé, « 72 heures, c'est le délai légal pour notifier. Pour tenir ce délai, cela implique d'avoir tout préparé en amont ». La démarche proposée repose sur huit étapes préalables et, en cas d'incident, sur cinq étapes à suivre (cinq au plus, selon la gravité de l'incident).
Publicité
Yann Renaud, Responsable Pôle Projets Transverses, Architecture et Sécurité Informatique chez Klésia a témoigné sur comment moderniser la sécurité des comptes à privilèges
Le premier témoin était Yann Renaud, Responsable Pôle Projets Transverses, Architecture et Sécurité Informatique chez Klésia. Il est revenu sur le projet de sécurisation des accès administrateurs par des postes virtuels éphémères, en commençant par décrire l'architecture générale du SI. « Nous avons beaucoup d'infogérance » a-t-il observé. La technologie mise en place s'est révélée particulièrement adaptée aussi parce que le licencing de l'éditeur permettait une facturation à l'accès simultané et non pas à l'utilisateur nommé, seule approche possible quand il y a une infogérance avec des listes d'acteurs par définition non-connues.
Les erreurs de configuration, première source des violations
« Comment détecter les comportements anormaux des utilisateurs » ont expliqué Pierre-Louis Lussan (Country Manager de Netwrix) et Thomas Limpens (Ingénieur Avant-Vente) (de droite à gauche)
Pierre-Louis Lussan (Country Manager de Netwrix) et Thomas Limpens (Ingénieur Avant-Vente) ont ensuite expliqué « Comment détecter les comportements anormaux des utilisateurs ». Pierre-Louis Lussan a ainsi précisé : « notre objectif est de vous donner la visibilité sur vos données, qui y accède, qui les modifie, en temps réel. » Les enjeux dépassent largement la seule DSI ou le RSSI. L'enjeu des datas, pour lequel le RGPD est accessoire, concerne en effet aussi la DRH ou la DAF. Par exemple, un DRH a voulu comprendre pourquoi quelqu'un accédait régulièrement à des données sensibles de paye. La problématique de l'accès aux données est plutôt vis-à-vis de l'interne, beaucoup plus rarement pour des attaques d'origine externe. Mettre en place l'outil proposé révèle assez rapidement les anomalies. « 52 % des violations sont dues à des erreurs de configuration » a relevé Thomas Limpens.
« Menace globale : détection, réponse et réaction » a été détaillé par Sergio Gamo, Responsable sécurité Europe chez Telefonica
Un type d'attaque externe a cependant fait de gros dégâts récemment, celui des crypto-vers Wannacry et Petya. Les opérateurs télécoms peuvent intervenir contre la diffusion des crypto-vers. Ainsi, pour Sergio Gamo, Responsable sécurité Europe chez Telefonica, « Telefonica, en tant qu'opérateur télécom global mondial, a été de ce fait un acteur global dans la détection et la réaction à ces menaces ». L'opérateur a notamment pu détecter les transferts de crypto-vers et réagir.
La sécurité se conçoit dès le départ d'un projet
Le Vice-Amiral d'Escadre Arnaud Coustillière, Directeur Général du Numérique et des Systèmes d'Information et de Communication, Ministère des Armées, a expliqué « La résilience dans un environnement IT contraint »
Le Vice-Amiral d'Escadre Arnaud Coustillière, Directeur Général du Numérique et des Systèmes d'Information et de Communication au Ministère des Armées, qui nous avait accordé une interview il y a peu, a ensuite su tenir en haleine les participants. Pourtant, il a commencé en rappelant que « les tâches que j'ai aujourd'hui me rendent très modeste devant l'ampleur des transformations ». La Défense, c'est un budget IT de 3,5 milliards d'euros, 300 000 postes de travail dont 20 000 totalement déconnectés pour des raisons de sécurité et 30 000 au contraire très ouverts. Les armées sont leur propre opérateur télécom et, bien sûr, se refusent dans tous les cas à déléguer leur sécurité, même quand elles ont recours à des clouds externalisés. La principale difficulté reste, malgré tout, non pas la conception de la sécurité mais sa mise à l'échelle.
« Pourquoi réfléchir à la sécurité dès la conception ? » a interrogé Tolabott Samair, Architecte en Cybersécurité chez Bouygues Telecom Entreprises
Pour y parvenir, l'une des conditions nécessaires reste de mettre en place la sécurité dès l'origine de tous les projets. Tolabott Samair, Architecte en Cybersécurité chez Bouygues Telecom Entreprises, a ainsi répondu à la question « Pourquoi réfléchir à la sécurité dès la conception ? » en s'appuyant sur ses expériences. Les risques liés à une non-intégration de la sécurité dès l'origine sont en effet importants, que ce soit, à court terme, en matière d'exploitation business mais aussi, à plus long terme, sur l'image de l'organisation. « La sécurité dès la conception, c'est la marque d'une entreprise responsable, cela apporte un avantage compétitif, en améliorant la gouvernance et permet l'amélioration continue » a conclut Tolabott Samair.
Relever des défis de plus en plus complexes
« Comment accélérer la conformité de vos systèmes/données au RGPD » a révélé Aurélie Godec, Senior Director Product Management IBM i chez Syncsort
« Selon un sondage réalisé parmi nos clients, les principaux défis à relever par les entreprises en matière de cybersécurité sont d'abord la bascule dans le cloud, ensuite la complexité réglementaire croissante puis la difficulté à recruter les profils pertinents » a indiqué Aurélie Godec, Senior Director Product Management IBM i chez Syncsort. Bien entendu, le RGPD est le premier sujet d'inquiétude réglementaire. Pour permettre la conformité RGPD, il faut monitorer l'utilisation des données personnelles dans un environnement qui est lui-même de plus en plus complexe. Ce monitoring doit être à la fois temps réel et permettre aussi une analyse a posteriori. Le recours à des ressources telles que celles de Syncsort permet de faciliter et d'accélérer la mise en conformité tout en permettant de positionner les ressources internes sur d'autres projets.
Le Grand Témoin de la matinée a été Olivier Ligneul, Directeur Cybersécurité chez EDF et Vice Président du CESIN.
Le Grand Témoin de la matinée, qui a ensuite pris la parole, était Olivier Ligneul, d'une part Directeur Cybersécurité chez EDF et d'autre part Vice Président du CESIN. Le Club des Experts de la Sécurité de l'Information et du Numérique compte aujourd'hui 500 membres. Olivier Ligneul s'est ainsi exprimé autant au nom de cette association qu'en témoignant sur son entreprise. Pour lui, « il est important, pour réagir, d'avoir des informations de personnes en qui j'ai confiance », d'où l'importance de cercles tels que le CESIN.
La confiance n'existe plus
« Zero Trust, le nouveau périmètre de sécurité » a plaidé Nicolas Petroussenko, Regional VP chez Okta
La confiance était aussi le thème de l'intervention de Nicolas Petroussenko, Regional VP d'Okta : « Zero Trust, le nouveau périmètre de sécurité ». En effet, chacun sait que la sécurité périmétrique qui définit une zone de confiance protégée est totalement obsolète à l'heure de l'ouverture forcée du SI. « Pour faire du business, je dois ouvrir mon SI, je n'ai pas le choix, fin de l'histoire pour la sécurité périmétrique » a ainsi constaté Nicolas Petroussenko. Il faut donc plutôt s'intéresser à qui fait quoi et qui a le droit de quoi. Mais les identités sont souvent gérées dans de multiples systèmes. Il est essentiel, pour pouvoir correctement réaliser une gestion d'identité, de savoir fédérer les annuaires en technologies très variées.
La table ronde « Une cybersécurité innovante pour une IT agile », animée par Jacques Cheminat (au centre), a réuni Michel Juvin (à droite, membre du CESIN) et Thuyen Pham (à gauche, Responsable de la Sécurité des Systèmes d'Information du Groupe Barrière et membre du CLUSIF)
Michel Juvin (membre du CESIN) et Thuyen Pham (Responsable de la Sécurité des Systèmes d'Information du Groupe Barrière et membre du CLUSIF) ont ensuite participé à une table ronde intitulée « Une cybersécurité innovante pour une IT agile ». « Face à beaucoup d'attaques, on peut être décontenancé » a ainsi observé Michel Juvin. Il est donc nécessaire de mener une gouvernance de la sécurité avec beaucoup de soin. Pour Thuyen Pham, « le security by design, c'est un travail quotidien. »
L'IA au secours de la sécurité
« IA et réponse autonome, une nouvelle approche pour faire face aux menaces informatiques » a été présenté par Thibault Daures, Spécialiste Cybersécurité chez Darktrace
Thibault Daures, Spécialiste Cybersécurité chez Darktrace, a conclu la matinée avec son intervention « IA et réponse autonome, une nouvelle approche pour faire face aux menaces informatiques ». Face à la multiplication des menaces, et à leur rapidité croissante liée à leur automatisation et leur industrialisation, l'humain peut être dépassé. « L'analyse en temps réel et, en cas d'incident, la capacité de remonter sur un an pour comprendre ce qui s'est passé puis être aussi capable, grâce à notre module antigena, de développer une réponse autonome permettent de gagner le temps précieux dont les organisations ont besoin pour faire face » a souligné Thibault Daures.
La cybersécurité est donc loin d'être un acquis. Comme l'a montré cette conférence, il s'agit d'un combat de tous les jours.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire