Bernard Montel – RSA :  » Les entreprises ont besoin d’une cybersécurité pilotée par les risques »

Percevez-vous une plus forte sensibilisation des entreprises à la cybersécurité ?
Bernard Montel – RSA Security  – Oui
clairement. Alors qu’il y a quelques années la cybersécurité était un sujet d’experts, ou dans certains cas un mal nécessaire pour satisfaire les besoins réglementaires, elle est aujourd’hui au cœur des discussions des DSI et quelques fois même un sujet principal.

L’actualité des différentes attaques a permis une prise de conscience, et on observe un virage net entre la sensibilisation et l’action lorsque le client est lui-même touché (évidemment) ou que le secteur d’activité est touché.

La transformation digitale est également un facteur de prise de conscience de besoin plus important en cybersécurité. L’adoption de services agiles et flexibles de Cloud apporte son lot de risques et de menaces potentielles. La sécurité devient alors un besoin pour cette transformation.

Enfin, tous les secteurs sont aujourd’hui ciblés par des cyber-attaques (et pas uniquement des campagnes de ransonwares). Le secteur financier, l’industrie, mais également les services (centres hospitaliers), et les administrations.

La notion d’infrastructure critique, autrefois cantonnée aux organismes et sociétés fournissant de l’énergie englobe aujourd’hui tous les domaines d’activités, qui, s’ils devaient s’arrêter de fonctionner mettrait le pays en état d’arrêt.
Ce qui a changé c’est que le risque digital a dépassé le risque traditionnel, c’est la raison principale de la prise de conscience à un niveau global.

Les entreprises ont-elle évoluer dans l’application de leur stratégie de cybersécurité ?
On est passé d’une aire de la sécurisation par périmètre (Vauban – ?), à la sécurité pilotée par les risques. Les attaquants sont agiles, rapides et ont de plus en plus de moyens technologiques. Leur budget est souvent plus élevé que le budget en cyberdéfense de nos entreprises.
Pour pouvoir répondre de manière efficace à ces attaques il faut avoir une approche intelligente et non empirique. On ne peut pas tout surveiller avec la même efficacité.
La réponse : avoir une CyberSécurité pilotée par les risques. Surveiller les assets risqués pour l’entreprise.

Quelle est la réponse de RSA à ces nouvelles attentes ?
Tout d’abord une approche par les risques pilotée et outillée. Un lien fort aussi entre le Risque Métier et le Risque IT. Un lien direct entre les risques IT et le SOC.

C’est l’approche verticale de la sécurité par les risques (Du métier au SOC). Cette première partie est portée par la solution RSA Archer, qui permet de modéliser mais surtout de mesurer sa posture de risque de façon outillée.

Ensuite il faut avoir la  visibilité la plus large possible sur l’activité du système d’information « from ground to Cloud ».

Les logs ne suffisent plus pour comprendre et donc détecter des activités malicieuses opérant dans le système d’information. Il faut compléter cette traçabilité (souvent parcellaire) par une capture des échanges réseaux et une analyse approfondie du comportement sur les serveurs et Endpoint pour avoir la compréhension globale de ce qu’il se passe sur le réseau.

Le cloud doit évidement inclus dans ce périmètre de surveillance. Et avec des mécanismes d’intelligence artificielle et de « machine learning » être capable de détecter des comportement anormaux provenant de ces différentes sources de données afin de remonter des alertes et traiter des incidents.

La compréhension de l’ensemble du scénario d’activité malicieuse est tout aussi importante que sa détection.
Cet ensemble est portée par la plate-forme  RSA NetWitness qui collecte des logs, capture les données réseau et points de terminaison, augmente les capacité de détection et d’analyse avec des technologies d’intelligence artificielle (UEBA) tout en proposant également une solution avancée d’orchestration et d’automatisation de gestion des incidents

Troisième volet : L’identité. Toutes les attaques passent par une usurpation d’identité. C’est le maillon faible (avec le Endpoint) qui permet aux attaquants de faire des escalades de privilège afin de pénétrer les systèmes cibles par des mouvements latéraux au sein du système d’information.

L’authentification multi-facteurs et multi-canaux est un moyen efficace et robuste permettant de protéger simplement les ressources critiques. Mais la gouvernance des identités et des accès reste aussi crucial. Un accès mal positionné ou laissé ouvert reste la vulnérabilité la plus exploitée jusqu’à présent.

RSA a développé, depuis plusieurs années, des solutions autour de ces 2 sujets qui sont aujourd’hui portés par la suite RSA SecurID Suite : RSA SecurID Access et RSA Identity Governance and Lifecycle.

Quel impact le RGPD a-t-il dans le domaine de la cybersécurité ?
Le premier impact est la prise de conscience de la cybersécurité pour des sociétés ou organismes qui ne se sentaient pas concernées.

Le deuxième est que par l’application des recommandations et exigences du RGPD, le niveau de sécurité est globalement plus élevé ou est en train de le devenir.

Attention le RGPD n’est pas une solution « Anti-Attaques », mais il permet au moins d’organiser et mettre en ordre de marche le triptyque « People, Process, Technologie » pour protéger dans un premier temps les données personnelles et par ricochet au-delà.

Dans notre approche Information Risk Management, l’information traitée par le RGPD étant « la donnée personelle », en augmentant la sécurité du système d’information sous-jacent on augmente globalement son niveau de sécurité.

Le RGPD permet également de faire sortir le sujet « Sécu » de son giron d’expert et de technicien et le met non seulement au niveau juridique, mais directement au niveau de la direction générale (vœux cher aux RSSI des années 2000) et même au niveau du grand public (ce qui était un rêve).