CONFIANCE NUMÉRIQUE

Les Assises de la sécurité : 3 chantiers des RSSI

C’est un événement incontournable de la cybersécurité en France. 3 000 personnes ont participé, mi‐octobre, à la 17ème édition des Assises de la sécurité. DSI/DSSI, RSSI, décideurs des secteurs de l’industrie, des services, de la banque, des télécoms ou du secteur public, les meilleurs professionnels et experts étaient présents. L’occasion de dresser un état du marché et des préoccupations des RSSI en matière de sécurité.

Préoccupation N°1 : un sentiment d’isolement face aux menaces

On l’a vu ces derniers mois : les menaces sont nombreuses, diverses, imprévisibles. « Face aux risques, les RSSI ont parfois l’impression d’être seuls dans leur coin. Ils aimeraient avoir davantage d’informations sur les attaques, pour mieux s’y préparer. L’union fait la force, et les RSSI que j’ai rencontrés au Assises de la sécurité souhaitent mutualiser les connaissances : « En quoi consistait telle attaque ? Comment les victimes ont‐elles réagi ? Quels enseignements puis‐je en tirer ?» J’ai senti une forte demande, une réelle attente des RSSI de mieux capitaliser sur les expériences de leurs confrères » raconte Cyril Voisin.

Que faire ? Écumer les congrès, éplucher sites internet et presse spécialisée ? Autre solution, moins chronophage et plus efficace : le cloud.
Comme le rappelait Bernard Ourghanlian, directeur Technique et Sécurité chez Microsoft, « l’avantage du cloud pour une PME, c’est qu’elle n’a plus besoin de se préoccuper de la sécurité de son système ».
« Si un de nos clients est attaqué, on peut mettre en place une parade de sécurité. Et cette amélioration, on peut alors la généraliser à l’ensemble de nos clients » explique Cyril Voisin. Résultat : partage de la protection et mutualisation des connaissances, sans que les services informatiques de l’organisation n’aient à intervenir.

Autre intérêt du cloud : évaluer facilement, et de manière réaliste, la sécurité et la résistance de son SI. Office 365 Secure Score, lancé début 2017, permet à toute organisation d’afficher son score de sécurité. Et donne une liste d’actions à réaliser pour améliorer ce dernier. Simple et efficace.

« Microsoft sécurise ses data centers et ses services, améliorant ainsi la sécurité de chacun de ses clients. Avec, pour chaque entreprise ou organisation, une parcelle isolée des autres clients et des données répliquées pour offrir plus de résilience » rappelle Cyril Voisin. « La sécurité de la couche physique et de la virtualisation, c’est nous ; la sécurité des solutions logicielles SaaS, c’est nous aussi. L’entreprise n’a ensuite plus qu’à gérer les identités et les accès, et potentiellement activer certaines fonctionnalités de sécurité additionnelles ».

La sécurité axée sur l’identité

Protégez vos employés en offrant une place centrale à l’identité dans votre entreprise grâce à Enterprise Mobility + Security, la solution de sécurité intelligente de Microsoft.

Télécharger

Préoccupation N°2 : le RGPD

Le temps presse : le RGPD, Règlement Général sur la Protection des Données (GDPR en anglais, pour General Data Protection Regulation) entrera en vigueur le 25 mai 2018.

« Les grands groupes ont une très bonne compréhension du RGPD et des enjeux, même si, à date, personne ne pourrait être 100% conforme. Pour les PME et pour les acteurs du secteur public, le chemin paraît plus long » explique, de retour des Assises de la sécurité, Cyril Voisin, Executive Security Advisor pour la France, l’Italie, le Moyen‐Orient et l’Afrique chez Microsoft.

Pour rappel, le RGPD vise à renforcer la protection des données personnelles au sein de l’Union. Toutes les entreprises européennes sont concernées, de même que toutes celles vendant des produits ou des services sur le marché européen ou profilant les résidents de l’UE.

Et des pénalités sont prévues, suffisamment dissuasives (jusqu’à 4% du chiffre d’affaires annuel mondial, ou 20 millions d’euros – la plus grande de ces deux sommes étant retenue) pour inciter les entreprises et organisations à se mettre en conformité. C’est-à-dire à sécuriser les données personnelles qu’elles stockent ou traitent.

Pourtant, plus qu’une contrainte, le RGPD peut être vue comme une opportunité. Celle de se mettre à niveau, de se doter de moyens et de systèmes adéquats face aux menaces actuelles.

Une des méthodes les plus simples et les plus rapides côté technologique : passer au Cloud. Ainsi, les services Cloud de Microsoft respecteront le RGPD d’ici le 25 mai 2018. En outre, les clients utilisant les services de cloud Microsoft (tels que Office 365, Dynamics, Azure, Enterprise Mobility + Security) et Windows 10 disposent d’outils les aidant à construire et démontrer leur propre conformité. Et le Cloud Microsoft fournit des contrôles intégrés qui peuvent aider à gérer, protéger et suivre vos données sensibles, avec la possibilité d’en révoquer l’accès à tout moment.
Résultat : l’entreprise, ou l’organisation, demeure responsable de sa conformité, mais bénéficie d’outils l’aidant dans sa démarche.

Préoccupation N°3 : la gestion des accès et des identités

« Un système d’information n’est plus un château fort où les salariés arrivent le matin et repartent le soir » expliquait Karelle Robinet, Responsable des offres sécurité de Microsoft. Les nouveaux modes de travail – mobilité, collaboration accrue, échanges d’informations et de données entre collaborateurs, clients et partenaires – impactent les stratégies de sécurité. « Les RSSI ont conscience que la gestion des identités et des accès est, plus que jamais, un enjeu majeur » rappelle Cyril Voisin. Qui prodigue quelques conseils :

- Appliquer le « principe du moindre privilège“ : ne pas accorder à un collaborateur plus de droits que ce qui est nécessaire pour une action donnée.

- Accorder ces droits pour une durée déterminée, en particulier pour les utilisateurs possédant des privilèges élevés tels que les administrateurs.

- Utiliser les services d’authentification multiple (en anglais MFA, pour Multi‐Factor Authentication). Il s’agit de combiner au moins deux modes d’identification indépendantes, par exemple un mot de passe plus un appel sur le téléphone du collaborateur. Ainsi, même si un pirate parvient à voler un mot de passe, il lui reste encore au moins un obstacle à franchir…

- Protéger son Active Directory. Par les informations qu’il recèle sur une entreprise et ses collaborateurs, l’Active Directory est une cible privilégiée. Des solutions d’analyse de comportements permettent de mieux le sécuriser.
Ainsi, Advanced Threat Analytics (ATA), permet de détecter les comportements anormaux (par exemple un utilisateur qui se connecte à de nombreuses machines de manière inhabituelle, ce qui indique que son identité a été volée.

- Sécuriser les ordinateurs clonés. Dans les grandes entreprises et dans les administrations qui changent de système d’exploitation, il est fréquent de réaliser une machine pilote puis de la dupliquer sur l’ensemble du parc. Mais si un pirate découvre le mot de passe administrateur local de cette machine, il peut accéder à toutes les machines ayant le même compte utilisateur avec le même mot de passe. Il faut absolument diversifier les mots de passe administrateurs. Par exemple en utilisant LAPS, une solution gratuite.

- Prévoir des sauvegardes résistantes contre les ransomware. Azure Backup, solution de sauvegarde en ligne, conserve six copies de vos données dans deux centres différents et peut être protégée par l’authentification renforcée (MFA).

Conclusion : nombre des préoccupations des RSSI peuvent être adressées par le cloud. Mais quelle que soit votre stratégie, veillez à empêcher la compromission des identités ; sécurisez les applications et les données ; développez les contrôles des appareils ; et protégez l’infrastructure.

Cours accéléré sur la gestion de votre sécurité : les clés d’une sécurité optimisée

La façon dont vous gérez la sécurité de vos données et de vos appareils est une priorité absolue dans un contexte de cybermenace en constante évolution.

Télécharger