INTERVIEWS
Pour mieux protéger les informations numérisées de l’entreprise, le RSSI renforce l’authentification des utilisateurs, chiffre les disques durs et, en complément, filtre les flux web. Partages d’expériences à l’occasion des Assises de la Sécurité.
Le message essentiel de l’édition 2017 des Assises de la Sécurité ? « Pour créer la confiance numérique, il faut intégrer la cybersécurité dès le départ de la digitalisation de l’entreprise », résume Sophie Guérin, directrice des événements DG Consultants. De fait, les applications et les données dans le Cloud restent au centre des préoccupations exprimées aux Assises de la Sécurité de Monaco et de ses 2 800 visiteurs. Les RSSI veulent, en particulier, anticiper la mise en application en mai 2018 du règlement européen encadrant le respect des données privées (RGPD). Du coup, « le marché de la cybersécurité est très dynamique. La communauté des RSSI a besoin d’échanger, de comparer ses bonnes pratiques. Notre plateforme assure la mise en relation avec l’écosystème des partenaires et avec les juristes », ajoute Sophie Guérin.
Generali France révise son SSO
Nathalie Mantilla,
responsable de l’architecture technique
de Generali France
Sans attendre la nouvelle règlementation, Nathalie Mantilla, responsable de l’architecture technique de Generali France a déjà choisi de combiner l’authentification forte, le contrôle d’accès et le Single Sign-On derrière une seule et même console. Dans le cadre du programme Vitality, elle a retenu la solution Sign&Go d’Ilex, intégrée au programme SSO maison (GF2) en place depuis une quinzaine d’années. Grâce à cette transition, prévue sur deux à trois ans pour couvrir 200 applications de générations distinctes, le système d’information va bénéficier de jetons d’authentification standards. A l’ère du numérique, ce SSO global va faciliter les partenariats en réseaux. Il forme un premier pas important pour pouvoir passer à l’approche agile et au déploiement de futurs services dans le Cloud. « Nous dénombrons une cinquantaine d’applications critiques pour Generali. qui devront intégrer la solution Sign and Go. Celle-ci nous permettra, nous espérons, d’ouvrir de nouveaux partenariats. Sur ces Assises, nous regardons tout ce qui concerne la sécurité au niveau du Cloud computing, notre objectif étant de développer nos applications en suivant ce modèle. Nous étudions aussi les solutions de type GDPR. Sur le salon, nous avons identifié quelques solutions et méthodes qu’il serait intéressant de challenger par rapport à nos choix internes », explique-t-elle.
MBDA adopte le chiffrement
Philippe Bernard,
RSSI de MBDA
Filiale d’Airbus, de BAE Systems et de Leonardo, MBDA est le premier industriel européen de conception de missiles. Il retient les logiciels de l’éditeur français Prim’x pour chiffrer l’ensemble du disque dur de ses PC portables ainsi que les fichiers transmis aux partenaires et aux fournisseurs du secteur. Disposer d’une protection agréée par l’ANSSI, d’origine européenne, permet au RSSI de MBDA Philippe Bernard « d’être plus serein quand les collaborateurs partent à l’étranger et peuvent, malheureusement, perdre ou se faire voler leur matériel. Offrir de la disponibilité et ne pas se faire voler des données restent nos priorités. Nous devons donc sécuriser le périmètre de notre réseau et aussi tout ce qui sort de l’entreprise. » Les utilisateurs doivent retenir deux mots de passe, l’un pour entrer dans leur environnement de travail, l’autre pour déchiffrer le contenu de leur disque dur.
InfoPro Digital met la priorité sur le RGPD
Laurent Benamou,
directeur Infrastructure
et Sécurité de l’éditeur InfoPro Digital
« La priorité 2018, pour nous, c’est la mise en place de la gestion de la donnée personnelle, la GDPR, témoigne Laurent Benamou, directeur Infrastructure et Sécurité de l’éditeur InfoPro Digital (L’Usine Digitale, L’Argus de l’assurance, MarchésOnline). Se mettre en conformité nécessite pas mal de préparation, beaucoup d’organisation, de l’assistance et des outils. La mise en œuvre sera gérée par un DPO au profil juridique, qui a été nommé à cette occasion, et qui aura besoin de la complémentarité technique du RSSI. »
Premier pas vers les nuages, la migration vers Office 365 offre l’occasion de déployer des architectures et des plateformes dans le Cloud Azure de Microsoft. Pour les futurs services conçus et distribués en mode DevOps, la DSI envisageait la pile OpenStack. « A présent, les offres proposées par de grands éditeurs facilitent le passage au Cloud. Je reste très attentif aux solutions susceptibles de nous aider à piloter la sécurisation de la donnée lorsqu’elle passe dans un Cloud. Un service dédié en mode SaaS peut être envisagé, à condition de faire appel à un tiers de confiance distinct de celui qui pilote le stockage de la données. »
L’enjeu est de savoir où sont stockées les données et avec qui elles sont partagées. Chez InfoPro Digital, l’authentification à double facteur est fournie par HID depuis quelques mois ; pour l’utilisateur, cela se traduit par un mot de passe éphémère, renouvelé à chaque session. En outre, le chiffrement des terminaux mobiles fourni par Kaspersky regroupe sous une même console antimalware et protection des fichiers. Une autre solution de chiffrement dédiée aux serveurs sécurisera le partage d’informations. Grâce à ces couches complémentaires, Laurent Benamou espère devenir moins dépendant de la sécurité du Cloud.
Yves Rocher protège ses PC en mode SaaS
Eric De Bernouis,
RSSI du groupe Yves Rocher
Les postes de travail portables deviennent la norme chez Yves Rocher, 15 % des clients fixes étant remplacés par des modèles itinérants chaque année. Eric De Bernouis, le RSSI du groupe Yves Rocher, doit protéger plus de 7 000 ordinateurs. « Près de 90% de notre système d’information est externalisé. Le filtrage web en mode SaaS de Forcepoint intervient partout et à tout moment. Chaque collaborateur, où qu’il soit, passe par cette solution efficace contre les virus et les APT, très simple à installer. Nous chiffrons les données des portables et l’utilisateur n’a pas accès à la partition système de son PC. Le cap pour adopter une solution de sécurité en mode SaaS n’a pas été dur à franchir, ajoute-t-il : On protège nos clients et nos brevets, mais la réflexion a été basique. En SaaS, quoiqu’il se passe, le niveau de sécurité sera toujours meilleur que ce qu’on est capable de mettre en place en interne. On s’assure néanmoins de rester sur du Cloud européen. » Depuis 4 ans, la sélection des prestataires et des hébergeurs passe par une étude du niveau de sécurité qu’ils ont mis en œuvre : « L’examen passe par des questionnaires, des capacités d’audits, des conventions de sécurité qu’on intègre à nos contrats.Nous avons six grandes familles de prestataires distinctes. »
Engie : une gouvernance unique
Faiz Djellouli,
responsable de la Cybersécurité industrielle
au groupe Engie
« Le but de la cybersécurité est d’apporter la bonne réponse au bon endroit, ce qui présuppose l’instruction des risques et la classification des actifs. Nous savons ainsi quels scénarios sont redoutés et quels actifs sont à protéger, » précise Faiz Djellouli, responsable de la Cybersécurité industrielle au groupe Engie. Son équipe fait partie du centre de services partagés Global Business Support qui soutient les 24 entités du groupe. Elle se compose de 40 experts, RSSI et chefs de projets. Un groupe de travail dédié qualifie la menace afin de limiter son impact, de la traîter, de conserver des preuves d’attaques et de mener l’analyse post-portem. « En matière de cybersécurité industrielle, le réveil est très récent, observe-t-il. Un facteur clé de succès est d’avoir une gouvernance unique partout où la sécurité à un rôle à jouer. Aujourd’hui, nous devons concentrer nos efforts là où ils sont le plus rentables en termes de couverture de risques. Une connaissance profonde du métier et une vue transverse des risques structurent notre action. Tout le reste n’est qu’adaptation et expertise. »
Pour en savoir plus, consultez nos interviews exclusives réalisées à l’occasion des Assises de la Sécurité 2017
www.solutions-numeriques.com/videos/
L’Université de Cergy Pontoise enregistre chaque intervention système
Guillaume Renier,
DSI de l’Université de Cergy-Pontoise,
Guillaume Renier, le DSI de l’Université de Cergy-Pontoise, orchestre les interactions numériques d’un millier d’enseignants, de 20 000 étudiants et de près de mille employés et cadres administratifs. Il doit gérer la segmentation qui convient à ces groupes de travail, parfois connectés sans fil. L’infrastructure réseau soutient des applications de gestion critique, tandis que la messagerie électronique est confiée au Cloud Renater. Pour pouvoir intervenir (en mode root) sur un serveur ou un équipement du réseau, chaque prestataire doit montrer patte blanche et accepter d’être tracé tout au long de sa session. « Ce contrôle permet à l’administrateur de rejouer la session et de réparer des erreurs le cas échéant. Pour les utilisateurs, les recommandations de la CNIL visant à allonger les mots de passe à 10 ou 12 caractères, ils vont contourner l’obstacle, en collant des post-it plus long sur leur écran. On va donc essayer de travailler sur les technologies de cartes à puces et d’authentification biométrique. » Déjà un parefeu Airbus Security et une appliance d’origine Bomgar encadrent les accès locaux et distants, dans le respect des règles de sécurité retenues.
