Strat�gie

Cybers�curit� � l'heure du Sase : retrouver confiance dans son IT

Cybers�curit� � l'heure du Sase : retrouver confiance dans son IT
De droite � gauche : Aur�lie Chandeze (r�dactrice-en-chef adjointe de CIO), Bertrand Lemaire (r�dacteur-en-chef de CIO) et Jacques Cheminat (r�dacteur-en-chef du Monde Informatique).

Le 15 f�vrier 2022, CIO a diffus� la webconf�rence ��La cybers�curit� � l'heure du Sase : la confiance retrouv�e dans l'IT�� en partenariat avec Checkpoint, Cloudflare, Darktrace, Fortinet, Netscope, Okta et PaloAlto/Cortex.

Publicit�Si l'approche Zero Trust a constitu� un ind�niable progr�s dans la cybers�curit�, cette approche a cependant ses limites. Le cabinet Gartner a introduit le concept de Sase (Secure Access Service Edge) pour, justement, aller au-del� et, en quelque sorte, retrouver confiance dans son SI. Afin de faire le point sur les enseignements des premiers d�ploiements de cette approche et les bonnes pratiques � suivre, CIO a organis� la CIO.exp�riences ��La cybers�curit� � l'heure du Sase�: la confiance retrouv�e dans l'IT��. Celle-ci a �t� diffus�e sous forme de webconf�rence le 15 f�vrier et sa rediffusion int�grale peut �tre retrouv�e ici.

Cette CIO.exp�riences a �t� r�alis�e en partenariat avec Checkpoint, Cloudflare, Darktrace, Fortinet, Netscope, Okta et PaloAlto/Cortex ainsi qu'avec MyFrenchStartUp, l'AFCDP (Association fran�aise des correspondants � la protection des donn�es � caract�re personnel), le CESIN (Club des experts de la s�curit� de l'information et du num�rique) et le Clusif (Club de la s�curit� informatique fran�ais). Elle a permis d'entendre les t�moignages de Zehair Benamar (Chef de projet infrastructures, GHT GPNE), Martine Hemery (Directrice des Technologies et du Digital, CBP Group), Fabien Lemarchand (RSSI, ManoMano) et Frank Van Caenegem (RSSI, CNP Assurances). En partenariat avec MyFrenchStartUp, Adrien Petit, Co-Fondateur et PDG d'Uncovery a pr�sent� cette start-up. St�phane Rousseau, DSI groupe d'Eiffage et vice-pr�sident du Cigref, a �t� le grand t�moin de la matin�e. Outre la pr�sentation de son exp�rience propre, il nous a accompagn� toute la matin�e, notamment pour commenter les r�sultats de l'�tude ��Quelle cybers�curit� � l'heure de la convergence dans le cloud ?��.


��Sase : de la th�orie � la pratique�� a �t� pr�sent� par Xavier Duros, Directeur Technique de Check Point France.

��Le Sase (Secure Access Service Edge) est un concept propos� par le cabinet Gartner en 2019 en combinant un certain nombre de technologies�� a rappel� Xavier Duros, Directeur Technique de Check Point France. L'objectif �tait de r�pondre � un d�fi�: comment donner acc�s � tous partout au syst�me d'information�? La bascule au t�l�travail global li� � la crise sanitaire a oblig� les entreprises � y r�fl�chir. Deux constituants de cette approche sont � consid�rer�: la connectivit� (SD-Wan, VPN...) et la s�curisation de l'acc�s (identit�...), ce qui repr�sente un assemblage d'une trentaine de technologies. Pour Check Point Software Technologies, comme d�taill� dans l'intervention de Xavier Duros, le passage � la pratique passe par l'examen de cas d'usage.

Publicit�
��L'�volution de l'Offre Sase sur les prochaines ann�es�: vision de Fortinet, acteur majeur de la cybers�curit頻 a �t� pr�sent�e par Christophe Auberger, �vang�liste cybers�curit� chez Fortinet France.

En lien avec le d�ploiement de la cybers�curit� partout sur tous les terminaux et d'autres tendances comme la convergence IT/OT, l'approche de la cybers�curit� a �volu� et va continuer d'�voluer. Christophe Auberger, �vang�liste cybers�curit� chez Fortinet France, a not�: ��connecter les utilisateurs o� qu'ils se trouvent � des applications o� qu'elles se trouvent n�cessite d'adopter l'approche Sase.�� Il a ensuite d�velopp� sa vision au cours de son intervention.


Fabien Lemarchand, RSSI de ManoMano, a t�moign� de son retour d'exp�rience�: ��par-del� le Zero Trust��.

La place de march� en ligne d�di�e au bricolage et � la maison ManoMano est pr�sente dans six pays avec 3500 revendeurs partenaires et sert sept millions de clients. Fabien Lemarchand, RSSI de ManoMano, doit g�rer la cybers�curit� autant c�t� utilisateurs finaux que c�t� revendeurs sans oublier les collaborateurs. ��Comme nous produisons nous-m�mes notre plate-forme, la moiti� de nos collaborateurs sont des d�veloppeurs�� a observ� Fabien Lemarchand. Il a d�taill� son approche de la cybers�curit� au cours de son t�moignage.


��S�curiser l'acc�s aux donn�es en ma�trisant l'exp�rience utilisateur�� a �t� pr�sent� par Eric Antibi, directeur technique France de Palo Alto Networks.

Avoir une vision unifi�e de la cybers�curit� est ce qui a amen� au Secure Access Service Edge (Sase). ��En particulier � cause de la crise sanitaire, de plus en plus de collaborateurs travaillent � distance en permanence ou en mode hybride (et �a ne changera pas) et, par ailleurs, de plus en plus de grandes entreprises migrent leur SI vers le Cloud�� a constat� Eric Antibi, directeur technique France de Palo Alto Networks, pour justifier le d�veloppement de l'approche Sase. Une difficult� en termes de cybers�curit� est la s�dimentation des diff�rentes g�n�rations de solutions de cybers�curit�, accumulation complexe � administrer. Dans son intervention, Eric Antibi a donc insist� sur la n�cessit� de consolider l'existant.


Frank Van Caenegem, RSSI de CNP Assurances, a expliqu� comment retrouver confiance dans ses fournisseurs.

Avec une activit� remontant � 1850, CNP Assurances est un des grands acteurs de l'assurance dans le monde. L'entreprise dispose de datacenters mais recourt �videmment aussi � du cloud.
Frank Van Caenegem, RSSI de CNP Assurances, est revenu dans son t�moignage sur la n�cessit� d'auditer les fournisseurs et les modalit�s pour le faire. Avec des donn�es sensibles de 36 millions de clients, y compris des donn�es m�dicales, et une croissance forte des incidents chez les prestataires sous-traitants, CNP Assurances n'a pas eu le choix�: Frank Van Caenegem a rappel� que ��disposer d'engagements contractuels des fournisseurs ne permettait pas de nous garantir le respect de ces engagements alors que les r�gulateurs nous encourageaient � �tre plus attentifs.��


��D�mystifier le Sase : une approche pragmatique avec Cloudflare�� a illustr� Boris Lecoeur, Directeur G�n�ral de Cloudflare France.

Pour beaucoup, l'approche Secure Access Service Edge (Sase) est un concept th�orique voire n�buleux. Or, comme l'a rappel� Boris Lecoeur, Directeur G�n�ral de Cloudflare France, les r�cents mois ont �t� marqu�s par une forte croissance des cybermenaces en fr�quence comme en gravit�, en complexit�, en automatisation, en exploitation des failles... alors que la s�curit� p�rim�trique n'est plus du tout pertinente. Pour Boris Lecoeur, ��on ne peut plus ni faire confiance au r�seau interne ni se reposer sur une s�curit� p�rim�trique��. Il a donc pr�senter une approche pragmatique de la cybers�curit� reposant sur Sase au cours de son intervention.


Grand t�moin de la matin�e, St�phane Rousseau, DSI d'Eiffage et vice-pr�sident du Cigref, a d�taill� ��pourquoi et comment Eiffage a adopt� l'approche Sase��.

Le groupe Eiffage intervient � la fois sur le secteur du BTP et sur celui des concessions. Par nature, sa s�curit� est celle de multiples sites, y compris temporaires ou communs avec des coop�titeurs. St�phane Rousseau, DSI d'Eiffage et vice-pr�sident du Cigref, a �t� le grand t�moin de la matin�e et, au cours de son t�moignage, a d�taill� la mise en oeuvre de Sase dans le groupe Eiffage. Comme il le rel�ve, c'est particuli�rement d�licat puisque ��[le groupe a] informatis� tous les collaborateurs, y compris les compagnons sur les chantiers bien qu'il n'aient aucun bureau, aucun poste de travail.��


��La s�curit� des donn�es dans un contexte cloud : l'int�r�t du Security Service Edge�� a expliqu� Fran�ois Prat, solutions architect de Netskope.

Solution utilis�e par le groupe Eiffage, Netskope a fait intervenir Fran�ois Prat, solutions architect pour d�tailler les raisons et les modalit�s de l'approche Sase. ��L'usage du cloud a explos� ces derniers temps en relation avec le d�veloppement du t�l�travail car le cloud permet de fournir des applications auxquelles les collaborateurs peuvent acc�der � distance�� a-t-il ainsi rappel�. Et s�curiser les donn�es et les applications dans le cloud ou en mode hybride suppose d'adopter Sase.


Martine Hemery, directrice des technologies et du digital de CBP Group, a racont� pourquoi le courtier en assurances CBP s'est appuy� sur FranceConnect.

Parmi les questions abord�es dans l'approche Sase, l'identification des personnes n'est pas la plus simple. Pour bien identifier ses clients et aussi se connecter � des tiers (notamment la s�curit� sociale), le courtier en assurances CBP, sp�cialiste de l'assurance emprunteur, s'est appuy� sur FranceConnect dans le cadre de l'actuelle exp�rimentation. Martine Hemery, directrice des technologies et du digital de CBP Group, a ainsi t�moign� de l'impl�mentation de FranceConnect chez CBP. ��Renforcer la qualit� de l'identification est un enjeu majeur pour tous les acteurs de l'assurance�� a-t-elle rappel� avant de d�crire les diff�rentes mani�re d'am�liorer l'exp�rience client gr�ce � FranceConnect.


��Ransomware : cyber assurance ou Zero Trust ?�� s'est interrog� Nicolas Petroussenko, directeur g�n�ral d'Okta France.

Dans les soucis de s�curit� particuli�rement importants en ce moment, les ransomwares font figure de stars. Comme l'a rappel� Nicolas Petroussenko, directeur g�n�ral d'Okta France, le nombre d'incidents signal�s a �t� multipli� par deux sur les deux derni�res ann�es. Pour lui, plut�t que de r�fl�chir � la balance b�n�fices/risques entre payer et ne pas payer la ran�on lorsque l'on est victime, ��il ne faut pas �tre dans une situation o� la question va se poser��. Il a ainsi expliqu� dans son intervention comment �viter d'en arriver l�, notamment avec une gestion des identit� consolid�e et robuste.


Zehair Benamar, chef de projet infrastructures au GHT GPNE, a relat� comment les h�pitaux du GHT GPNE ont s�curis� le t�l�travail.

Le Groupement Hospitalier de Territoire Grand Paris Nord-Est (GHT GPNE) mutualise les ressources IT des h�pitaux d'Aulnay-sous-Bois, du Raincy-Montfermeil et de Montreuil. Comme dans la plupart des organisations, la question du t�l�travail s'est impos�e au calendrier mais dans un contexte particulier�: celui du secteur hospitalier, avec ses contraintes de s�curit� particuli�res. Les solutions d'acc�s � distance de Systancia ont �t� choisies � cette fin. ��Par rapport � l'urgence de la situation, le d�lai de mise en oeuvre �tait particuli�rement int�ressant�� a souligne Zehair Benamar, chef de projet infrastructures au GHT GPNE, dans son t�moignage.


��Renforcer l'approche ZeroTrust avec l'IA Auto-Apprenante�� a plaid� Valentin Pourrinet, expert cybers�curit� de Darktrace.

Les ransomwares, les menaces internes, le contexte g�opolitique impliquant des attaques soutenues par les Etats et les attaques au sein de la cha�ne de production applicative (Log4J...) forment le paysage des principales cybermenaces actuelles comme l'a d�crit Valentin Pourrinet, expert cybers�curit� de Darktrace. Pour lui, ��toutes les d�fenses statiques sont incapables de couvrir tous ces risques�� et le recours � des solutions auto-adaptives s'impose comme il l'a plaid� dans son intervention.


En partenariat avec MyFrenchStartUp, Adrien Petit, co-fondateur et PDG d' Uncovery, a pr�sent� cette start-up qui permet de d�tecter les risques pesant sur vos actifs num�riques.

Dans le cadre du partenariat avec MyFrenchStartUp, la matin�e a �galement permis la pr�sentation de la start-up Uncovery par Adrien Petit, co-fondateur et PDG. Le SaaS automatis� et pr�t en quelques instants propos� par cette start-up permet d'identifier et piloter l'exposition aux cyber-risques des entreprises.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez �tre connect� � votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicit�

    Abonnez-vous � la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Mettez-vous les offres de support des fournisseurs en concurrence avec des prestataires alternatifs ?