Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Oracle Cloud Security Summit : Transformation digitale, il vaut mieux se protéger pour pratiquer

février 2017 par CLEMENT OLIN

A l’occasion de l’événement Oracle Cloud Security Summit, Franck Hourdin, Vice-président chez Oracle EMEA, rappelle en introduction que, dans ce monde marqué par la transformation digitale, la sécurité est un pré requis. Or aujourd’hui, parmi les plus de 80% entreprises qui participent à cette transformation digitale, seulement 20% intègre un volet de sécurité. Il affirme avec conviction qu’il y a deux façons de voir l’adoption du RGPD. La première, celle que beaucoup partagent, est de considérer ce Règlement comme une énorme contrainte. La deuxième, celle d’Oracle, d’utiliser le RGPD comme une opportunité pour harmoniser les lois, de simplifier et assainir le traitement de données, et d’apporter une transparence auprès des clients. Et surtout ce règlement va permettre d’améliorer et clarifier la gouvernance des données.

Rohit Gupta, Vice-président chez Oracle Corp

La sensibilisation une des clés de la sécurité

Jacques Feytis, Directeur Achats, Logistique, Risques et Sécurité chez un assureur, explique que les compagnies d’assurances prennent la sécurité par deux bouts. Premièrement, en interne, ces entreprises subissent, la plupart du temps des attaques en DDOS, ou des concurrents qui font de l’espionnage pour comprendre le fonctionnement de leurs contrats d’assurance. Deuxièmement, du côté de leurs clients qui subissent des attaques et se tournent vers leur compagnie d’assurance pour assurer le risque Cyber. Il faut donc à la fois qu’elles s’assurent elles-mêmes et qu’elles assurent leurs clients. Ainsi, d’après Jacques Feytis, le meilleur moyen de protéger ses données, qu’il considère comme un capital stratégique, est de mener des actions de sensibilisation. Les meilleurs spécialistes doivent être pédagogues au près de tous les acteurs du sujet. Ces derniers ne se limitent pas aux équipes IT, mais à tous les collaborateurs d’une entreprise sans exception !

L’Identity SOC : un outil de référence

Rohit Gupta, Vice-président chez Oracle Corp, affirme avec certitude que la Cybersécurité est actuellement le sujet le plus important dans le monde. En effet, aujourd’hui les attaques Cyber sont de plus en plus poussées. On constate l’apparition d’attaques modernes qui commencent en dehors du réseau, sont automatisées et s’adaptent (elles ne sont pas statiques).
Eric Bezille, Chief Technologist chez Oracle Cloud Infrastructure, rappelle, pour sa part, que le marché du Cybercrime représente 288 milliards de dollars par an, ce qui est supérieur au marché de la drogue ou du vol de cartes bleues. Il faut donc investir plus dans la Cybersécurité, et surtout investir correctement. En effet, le budget de protection des entreprises est surtout utilisé pour la base de données, alors que la plupart des attaques passent par le réseau qui, lui, est moins protégé. Cela donne l’image d’une maison avec une porte blindée et impénétrable, mais dont les fenêtres sont ouvertes.

Pour protéger ces données, propose une solution, compatible avec les SI hybrides, sui repose sur trois principes :
• Réduire la surface d’attaque en consolidant la base de données (politiques de sécurités plus faciles à mettre en œuvre, contrôle d’accès avancé), et en patchant tout le hardware.
• Tout chiffrer, que ça soit les données stockées ou en transit sans perte de performance, notamment grâce à un algorithme de chiffrement directement implanté dans le processeur.
• Durcir et protéger en ajoutant des règles d’accès utilisateurs.
Pour contrer ce genre d’attaques, rebondit Rohit Gupta, il faut donc un SOC intelligent. Oracle a donc mis en place l’Identity SOC, qui est géré par l’Identity Management, qui se résume en trois acronymes : SIEM, CASB, et UEBA. Le Cloud Access Security Broker est une technologie prédictive conçue dans le but de détecter les différents problèmes. Enfin, le User and Entity Behavior Analytics permet de déterminer, pour chaque utilisateur une ligne de référence, ou de normalité, c’est-à-dire établir les habitudes de l’utilisateur afin qu’en cas d’action anormale, une réaction immédiate puisse être déclenchée. Cette réaction se caractérise par une quantification du risque, puis d’une notification aux experts informatiques qui spécifie le degré de risque de l’anomalie. Rohit Gupta affirme que l’identité et la sécurité réunie permettent la capacité de réagir immédiatement et automatiquement.

« nous pratiquons le naturisme numérique sans le savoir »

Pour sa part, Jean-Paul Mazoyer, rappelle que nous vivons dans un monde de plus en plus en dangereux à cause des systèmes hyper connectés. Or, si on prend l’exemple des grandes banques, leur budget informatique est équivalent à 10% de leur Chiffre d’Affaire, et, sur ce budget, seulement 5 à 6% sont consacrés à la sécurité informatique. Il affirme que trois attaques sur quatre sont dues à une erreur involontaire d’un utilisateur, sans même parler de ceux qui sont complices. Jean-Paul Mazoyer utilise une image assez explicite, « nous pratiquons le naturisme numérique sans le savoir », principalement à travers les réseaux sociaux. Aujourd’hui tout le monde est concerné et il faut en prendre conscience, à commencer par le PDG. Car la Cybersécurité est d’abord un problème de stratégie d’entreprise, et le PDG est en 1ère ligne. Il lui semble aussi nécessaire que la loi oblige l’entreprise à former l’ensemble des salariés, de la même manière qu’elle oblige les employés bancaires à suivre une formation de déontologie. Jean-Paul Mazoyer termine son intervention par une jolie leçon de vie : « Il vaut mieux être bien protégé pour pratiquer », ce qui ne s’applique pas seulement à la transformation digitale.

Le droit des personnes physiques sera renforcé en 2018 avec le RGPD
Olivier Proust, Avocat spécialisé en vie privée, protection des données personnelles et sécurité des données chez Fieldfisher, intervient ensuite pour revenir en détail sur le RGPD. Tout d’abord, qu’est-ce qu’une donnée à caractère personnelle ? Ce sont toutes les informations qui permettent d’identifier directement ou indirectement une personne physique. Le responsable du traitement de ces données à désormais deux objectifs, qui sont de garantir une bonne protection des données en fonction du traitement en se basant sur une évaluation pertinente du niveau de risque, et d’empêcher toute violation de ces données. Par violation, on entend la destruction, perte, altération ou le partage illicite de ces données. En cas de violation de données, il y a une obligation légale d’informer les autorités compétentes, soit la CNIL en France, dans les 72h, sauf si cette violation n’est pas susceptible d’engendrer des risques pour les droits et les libertés des personnes concernés. Il faut aussi informer ces personnes en cas de risque élevé. Pour appliquer ces mesures, les pouvoirs des autorités de contrôle sont très largement renforcés. Elles peuvent désormais appliquer des sanctions correspondant à 4% du Chiffre d’Affaire mondial ou 20 millions d’euros. Ces sanctions peuvent tomber soit en cas de violation de données, si on constate qu’elles n’étaient pas correctement protégées, soit en cas de contrôle à l’improviste, si on constate que les mesures mise en place pour protéger un traitement ne sont pas adéquates. Le pouvoir des personnes physique est lui aussi renforcé. En effet, à tout moment, elles peuvent demander à l’entreprise de récupérer les données que cette dernière détient sur elles, toujours sous le coup de sanctions. Ce Règlement a une application globale aussi bien à l’extérieur qu’à l’intérieur de l’UE. C’est-à-dire que toutes les entreprises qui traitent des données à caractères personnelles de citoyens européens sont concernées, même si l’entreprise n’appartient pas à l’UE. Olivier Proust conclut en arguant que ce Règlement, qui renforce à la fois le droit des personnes physiques et celui des autorités de contrôles, peut fortement pénaliser les entreprises si elles ne le suivent pas à la lettre, à travers des sanctions financières, une perte de confiance des clients ou encore une mauvaise publicité.

Il faut rendre intelligible le RGPD aux équipes IT

Pour finir, Pierre-Luc Refalo, Directeur Conseil Stratégique Cybersécurité chez Capgemini-Sogeti, énonce les grands défis à relever dans l’année qui suit pour Capgemini-Sogeti, à commencer par revoir la gouvernance, savoir se focaliser sur les traitements qui rentrent réellement dans la règlementation, expliquer et rendre intelligible le RGPD aux équipes IT, et initier le projet « Data Leak Prevention », qui intègre la surveillance du Deep Web. Il va de soi que ces défis s’appliquent à toutes les entreprises concernées par le RGPD.

Le mot de la fin est laissé à Dominique Perrin-Montet, Directrice de Oracle France : « il ne peut y avoir de transformation digitale sans confiance et sécurité. »


Voir les articles précédents

    

Voir les articles suivants