Témoignages retour d'experience : Eset / EURABIS et ENOVA

Témoignages retour d'experience : Eset / EURABIS et ENOVA

 

Olivier le Dilly Membre du Groupement EURABIS (IMSCloud)

Comment êtes-vous venus au programme MSP de Eset ?

Lors de réunions nationales et régionales de nombreux revendeurs membres de notre groupement ont été sensibilisés à la sécurité par leurs clients à tous les niveaux comme la sauvegarde par exemple. De nombreux revendeurs satisfaits par les solutions d'Eset techniquement ont découvert la console MSP d'Eset au plan « administratif et commercial ». Cette console correspond aujourd'hui à des attentes au niveau de la gestion des licences. Elle prolonge les habitudes et modes de travail qu''Eset France entretient avec son channel. L'idée consiste pour Nous, groupement de revendeurs, à offrir une console MSP fédératrice pour nos membres tout en respectant l'étanchéité des informations commerciales entre revendeurs. Une seconde « console technique » également mutualisée existe aussi pour la gestion des licences et mises a jours directement chez les clients.

D'autres éditeurs proposent également ce type de services MSP ?

Non pour la console commerciale et administrative totalement décentralisée. A ma connaissance, pas d’éditeurs proposent du MSP mutualisé selon deux modes administratifs et techniques en France. En revanche sur les services accessibles via les consoles techniques, des offres existent. Les avantages chez Eset avec cette offre « duale » a séduite déjà au sein de notre groupement une vingtaine de revendeurs lors de la phase de lancement. A noter que bon nombre de nos membres retiennent en général deux éditeurs en cybersécurité et détection anti-malwares. Je constate qu'en cyber-sécurité chez le client final, ce sont souvent des solutions mixtes de produits qui sont implantées.

Quels avantages remarquez-vous sur l'offre MSP d'Eset ?

Les prix sont en rapport avec le nombre de licences commandées. Le service MSP mutualisé d'Eset constitue un avantage notamment au niveau d'une facturation à la journée et pas seulement au mois comme chez d'autres éditeurs. Au niveau technique suite à une journée de formation, la maîtrise est là notamment avec la console « technique ». En revanche au niveau de la plate-forme tarifaire et administrative, la gestion des renouvellements n'est pas offerte et cela constitue une interrogation pour nos revendeurs soucieux d'obtenir une prime à la « fidélité » sur des renouvellements portant sur plusieurs années. Plus de la moitié de nos revendeurs « bloquent » sur ce programme MSP à cause de l'absence de de cette fonctionnalité.

Coté support techniques et commercial, vos membres suggèrent des améliorations ?

Au niveau du service « call technique» on appelle et on a tout de suite quelqu'un. En revanche au niveau support commercial, Eset France est un peu débordé. Sur un autre point comme les webinars de Eset France c'est une bonne idée, mais pas au milieu de la journée. Nos membres préfèrent en soirée ou durant les heures de déjeuner. Bref durant des périodes ou ils ne sont pas en clientèle. En outre la fonction « replay » si elle existe pour les webinars n'est pas disponible pour nos revendeurs. Dommage.

Quels besoins identifiez-vous de la part de vos partenaires en termes d’IT ?

Le programme MSP d’ESET correspond exactement à ce que nous recherchions. Grâce à la mutualisation, ce sont des dizaines de milliers de licences qui seront centralisées. La gestion des clients propres à chaque partenaire, reste simple et économiquement avantageuse : certains d’entre eux ont peu de licences. Grâce à l’offre MSP d’ESET, ils profiteront de toute la force du groupement en bénéficiant des formations et de l’assistance du support technique d’ESET, leur permettant de se perfectionner et de proposer un meilleur service à leurs clients. 

 

ENOVA: 

ENOVA est une SSII créée en 2001 qui propose ses services informatiques à temps partagé en région lilloise pour les PME qui n’ont pas les moyens ou besoins d’avoir un service informatique interne. Aujourd’hui, 10 personnes gèrent une centaine de clients, ce qui représente 1.500 postes et une centaine de serveurs. Au travers de cette infogérance, ENOVA cherche à proposer aux PME les outils et méthodes habituellement appliqués aux grands groupes, avec la souplesse d’une entreprise à taille humaine.

 

Quels étaient vos besoins en termes d’IT ?

La solution de gestion et d’antivirus que nous utilisions ne convenait plus à nos besoins car elle ne proposait pas la gestion de configurations multiples. Auparavant, un technicien qui programmait une configuration à un client devait dupliquer manuellement le paramétrage pour l’appliquer à d’autres clients. La perte de temps était considérable. Centraliser la centaine de clients que nous gérons sur une seule et même console, tant pour la gestion de licences que pour l’administration technique, était essentielle. Sur le plan technique, notre stratégie était de pouvoir appliquer les configurations à plusieurs clients en même temps. D’un point de vue commercial, le but était de simplifier les démarches afin d’éviter le processus devis-commande-achat de chaque antivirus pour chaque client.

  

Pourquoi avoir choisi le programme MSP d’ESET ?

Nous nous devions de trouver un programme permettant d’attribuer des licences à la volée et de réaliser des configurations multiples afin de gagner du temps. L’avantage d’ESET, c’est que si j’introduis une configuration pare-feu, je peux décider de l’appliquer à tous les clients sans ressaisir la configuration à chaque fois. Cette industrialisation était primordiale pour gagner du temps. Nous avons commencé la mise en œuvre du programme MSP en le déployant sur un gros client disposant de 300 postes. Nous avons réussi à couvrir tous les cas possibles avec ce test technique et commercial, nous permettant ainsi de déployer les configurations sur tous les autres clients.

  

Selon vous, quels sont les avantages liés à son utilisation ?

La mise en place de la plateforme peut paraître compliquée au démarrage mais une fois en route, elle fait preuve de beaucoup de fluidité ce qui est un réel confort pour les techniciens. Grâce à sa rapidité, nous sommes capables de déployer la solution en 5 minutes chez les clients finaux. Nous sommes totalement autonomes dans la gestion des licences ce qui nous permet d’optimiser le temps commercial et technique. Par ailleurs, la console d’administration d’ESET propose un suivi grâce à la centralisation des remontées d’erreurs, ce qui permet à l’équipe technique de disposer en temps réel de l’état de tous nos parcs clients.

 

Pouvez-vous résumer votre retour d’expérience avec ESET ?

Sur le plan technique, nous n’avons rien à redire. Les procédures écrites sont claires et faciles à mettre en place. Lors de la première phase de déploiement, le support technique a été très réactif. Sur le plan commercial, la gestion des licences est simple, rapide et efficace. Face à nos besoins, le programme MSP d’ESET nous apporte une totale satisfaction. Nous avions rencontré une problématique sur les TPE : la plateforme imposait un minimum de 5 licences par client référencé. Le support a été réactif, et sur la version actuelle, cette limite a été supprimée.

 

 

 

#DPO_News #cyberisques Données personnelles : trois questions toujours sans réponses

AMRAE 2017

 

Données personnelles : trois questions toujours sans réponses

 

 

par Jean Philippe Bichard @DPO_NEWS

Phot-JPB-DPO NEWS

 

 

Début février 2017, à Deauville, les rencontres de l'AMRAE portent bien leur nom. De multiples échanges permettent d'avancer sur l'évolution de la gestion des risques coté marché comme coté risk managers. Quelle approche en pleine transformation numérique de leurs entreprises perçoivent les professionnels du risque ? Quelles protections pour les données à caractère personnel à moins de 400 jours de la mise en application du GDPR (Règlement Général européen sur la Protection des Données) et les lourdes sanctions qui l'accompagnent ?

 

 

Si l'évocation du GDPR reste relativement discrète lors de ces 25eme rencontres de l'AMRAE, ce qui peut surprendre, la protection des données notamment coté assureurs et courtiers représente un thème central. A ce titre, l'édition 2017 s'est montrée riche et constructive. Demeurent les questions sans réponses.

Dans cet article nous en posons trois et personne ne sait y répondre totalement parmi tous les professionnels interrogés à Deauville. C'est sans doute compréhensible. Précisons que ces trois questions ne constituent pas un « piège de journaliste ». Ces trois questions sont légitimes et placées au cœur de l'actualité. Des réponses apportées dépend le « business » futur des assureurs et surtout le respect de nos vies privées et de celles de nos enfants.

 

Le client connecté reste t-il maître de ses données et acteur de sa vie de citoyen 2.0 ?

 

Ces trois questions ont pour toile de fond les usages numériques et les risques qui pèsent sur les données à caractère personnel. Qui saura y répondre ? Dernier point : il y a urgence. Des institutions telles que CNIL (1) (cf Section BONUS), ANSSI, AFCDP, CIGREF alertent continuellement leurs membres sur ces problématiques situées comme pour le GDPR au carrefour de trois axes: organisationnels, juridiques, techniques. 

On sait que les conditions de collectes de données à caractère personnel posent déjà un un premier problème via vis des procédés utilisés. Le second problème tient aux conditions d'exploitation des données à caractère personnel. Il ne s'agit pas bien évidemment de déclencher dans l'opinion le syndrome « Big Brother » auprès d'acteurs à forte notoriété. Il faut sans doute mieux percevoir comment vont évoluer les services « particuliers » et « corporate » en pleine période de transformation numérique. Et dans quelles conditions ?

 

 

Au pays de Voltaire et Montesquieu, cette évolution ne semble pas comprise

Concernant les usages de données à caractère personnel par les "data analysts" les assureurs comme les banques et opérateurs Telco forment le premier front face a une opinion partagée. La crainte d'un « contrôle » permanent de nos comportements et usages via des objets connectés, traceurs « mouchards », frigos, pèse-personne... est fondée. Elle peut être négative si le cadre réglementaire du législateur ne se montre pas à la hauteur. Notons que les "grands comptes" traditionnels ne sont pas contrairement à ce que l'on peut lire les plus exposés. Une "data start-up" peut parfois traiter plus de flux de données "persos" qu'une institution bancaire 100 000 fois plus importante en taille humaine. L'économie 2.0 repose sur sa propre logique. Une logique qui interpelle de plus en plus les COMEX et administrations  (1)

Cette économie pose également de sérieux problèmes d'éthique particulièrement commentés dans l'actualité en ce début d'année 2017 (2) (cf Section BONUS). Certaines « marches arrières » existent déjà face aux services 2.0. Ainsi un pays scandinave refuse courant janvier 2017 de cautionner le vote électronique jugé peu fiable et décide de revenir pour les prochaines élections au vote "papier". Ces signaux tout comme le réglement européen GDPR/RGPD sont utiles. Ils illustrent une réelle « prise de conscience » qui oblige les acteurs concernés à prendre position au delà d'une « simple » charte de confiance.

En demeurant pragmatique, on peut comprendre les avantages évidents que els acteurs économiques peuvent tirer de l'exploitation fine de toutes les données de leurs « big data ». Mieux protéger les biens et les actifs peut se traduire par exemple par davantage de connaissances « client ». Du point de vue des assureurs (et pas seulement cette profession) il faut créer via des traitements spécifiques de nouvelles données à caractère personnel pour obtenir plus de valeur « business ». Mais prudence, cette approche génère de la méfiance dans l'opinion (http://www.cyberisques.com/fr/mots-cles-7/635-cyberisques-dpo-news-64-de-francais-pensent-que-leurs-informations-sont-utilisees-dans-d-autres-buts-que-ceux-qu-ils-ont-approuve )

  

Implants médicaux futurs délateurs 2.0 ?

L’appréhension du risque cyber évolue. Comme pour les vaccins cette évolution questionne. D'après une étude réalisée en 2013, près de 40 % (38,2 %) des Français étaient défavorables à la vaccination en 2010, contre 8,5 % dix ans auparavant.

Qu'en sera t-il pour les données collectées via les IoT, boîtiers auto, caméras, pacemaker..?  Les implants médicaux futurs délateurs 2.0 ? Une fois encore, ce n'est pas un délire de salle de rédaction, c'est l'actualité. ( https://www.theregister.co.uk/2017/02/01/arsonists_pacemaker_data_tips_off_cops ) 

Comment les "assureurs 2.0 as a service" vont « positiver » ce paradoxe : plus de données pour de « meilleurs » services personnalisés tout en respectant la vie privée de chacun ? Faut il comme aux US faire une croix sur la notion de vie privée et estimer que seule la vie intime mérite la confidentialité et le respect ? Au pays de Voltaire et Montesquieu, cette évolution n'est pas comprise selon les sondages récents (lire notre enquête réservée aux abonnés).

Dans ces conditions, quel « deal 2.0 » peuvent proposer assureurs, banquiers, telco, construteurs automobiles ... pour "exploiter" les données personnelles de leurs millions de clients condition nécessaire à l’ère numérique pour affiner et développer de nouveaux services ?

Précisons que les tentations marketing « classiques » ne constituent pas toujours une solution. A la différence des GAFA, les compagnies d'assurance comme les banquiers et les telcos ne proposent pas (encore?) de services gratuits en échange d'une « ouverture » sur les accès aux données privées des utilisateurs (3) (cf Section BONUS). Pour un assureur il n'existe pas d’utilisateur, juste un client connecté.

 

 

D’où la première question : de quelle manière vont procéder les professionnels de l’assurance pour collecter les données personnelles en accord avec leurs clients et sans aucune discrimination?

Autre point, qui touche lui à la mutualisation, principe de fonctionnement des compagnies d'assurance du monde entier avant la digitalisation ou la dématérialisation des échanges. Il est évident qu'avec le développement de la collecte de données à caractère personnel, la connaissance de chaque assuré va créer une différence dans les offres de police désormais plus « customisées » ou personnalisées. C'est donc à terme la mort du principe de mutualisation en l'absence de mesures adéquates. Ces mesures doivent exister faute de quoi c'est la fin d'un autre principe lié à la mutualisation celui de la solidarité qui a fait la force des offres « substantielles » du moins avant qu'Internet devienne le vecteur incontournable des échos numériques de nos vies.

 

 

D’où la deuxième question : comment les métiers du risque dans le secteur de l'assurance vont migrer vers des offres personnalisées plus différenciées tout en préservant les principes de mutualisation et de solidarité ?

 

 

AMRAE2017-L-Parisot

Laurence Parisot 25eme rencontres AMRAE Deauville février 2017 

 

Le client connecté reste t-il maître de ses données et acteur de sa vie de citoyen 2.0 ?

Dernier point, dans un environnement multi-connecté quel rôle réserve t-on aux… clients ? Face à ces évolutions la propre vie connectée (parfois malgré eux) des clients va t-elle trouver de nouvelles « connexions » avec les assureurs ou s'en détourner ? « Je conduis bien donc je baisse ma prime auto merci voiture connectée » « Je m'alimente bien donc je baisse ma prime santé Merci frigo et centre commerciaux connectés  »  « je cours chaque week end, je vais baisser ma police santé merci montre connectée et service s de santé » Faut-il préciser que les « merci » peuvent parfois sentir l'ironie...

Notons que ces services connectés peuvent aussi sauver des vies. Pour l'heure de nombreuses questions demeurent. Exemple : reprenons le cas du conducteur « connecté ». Qui va garantir la bonne conduite sur quelles bases ? Qui sera « propriétaire » des données récoltées à bord du véhicule ? Le propriétaire conducteur assuré ? Le constructeur installateur de la boite noire connectée ? L'assureur - exploitant parmi d'autres – des données du boîtier "intelligent" parait-il parce que connecté à Internet ?

 

 

D’où la troisième question : dans un environnement multi-connecté par des objets et des services basés sur l'analyse de données à caractère personnel le client reste t-il maître de ses données et acteur de sa vie d'assuré ?

Ne risque t-il pas de glisser vers un rôle « Personnal data victim » comme il existe des « fashion victim » depuis l'intensification du « shopping » ? Cela dit reconnaissons que les « fashion victim »... si elles culpabilisent... consomment sans trop de problèmes. Exemple à l'appui: aux Etats-Unis début 2017 les données de visionnage "récupérées" par le fabricant de TV Visio , couplées à d’autres informations personnelles, étaient revendues à des régies publicitaires. Le fabricant a été condamné à 2,2 millions de dollars d'amendes suite à la plainte déposée par suite d’une plainte de la Federal Trade Commission (FTC), le régulateur américain du commerce (4BIS) 

Ces fait interviennent alors que moins de 10% des utilisateurs  estiment avoir le contrôle sur l’utilisation de leurs données personnelles selon la dernière étude KPMG (4TER)

 

On voit bien avec ces trois questions que l'essentiel de la problématique posée aux professionnels des risques c'est encore et toujours la confiance. Si elle existe avec nos proches, nos enfants, nos collègues, notre hiérarchie, et même les politiques tout est envisageable. Si la méfiance s'installe, le lien précieux et fédérateur risque de rompre. A nos trois questions, un début de réponse peut être avancé avec une idée : demain abonnement, forfaits et autres transaction d'un autre temps seront remplacés par des services numériques vraisemblablement basés sur une « partie » de nos données personnelles. Mais ces services ne trouveront réellement une résonance chez les clients-connectés que s'ils sont basés sur trois choses : l'éthique sécuritaire (4) (cf Section BONUS), la confiance 2.0 et l'imagination dans les nouveaux services "ethiques". Trois petits mots pour trois grandes questions. C'est un début.

Cyberisques NEWS et @DPO_NEWS se tiennent prêts a publier vos réponses.

@jpbichard

 

 A propos de l'auteur: 

 

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En plus de cyberisques  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

En plus d'animations (avec compte-rendu) et d'enquêtes "marché", Jean Philippe rédige à la demande de nombreux « white papers » sur les différenets facetets du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

This email address is being protected from spambots. You need JavaScript enabled to view it.

@cyberisques @jpbichard @DPO_NEWS

 

  

Abonnemnt-2017

 

BONUS :

1- http://www.cyberisques.com/fr/component/content/article/93-categorie-3/sous-categorie-3-1/621-interview-dpo-news-cyberisques-albine-vincent-chef-service-des-cils-au-sein-de-la-cnil

    http://bit.ly/2lLcVFe

2 - http://www.cyberisques.com/fr/component/content/article/137-mots-cles-30-reglementation/636-dpo-news-cyberisques-dpo-un-cil-2-0

3- http://www.lesechos.fr/tech-medias/hightech/0211762194535-protection-des-donnees-trump-seme-le-trouble-en-europe-2062224.php

4 - http://www.cyberisques.com/fr/mots-cles-5/625-dpo-news-cyberisques-gdpr-gdpr-faits-et-chiffres-infographies

4 bis : http://www.lemonde.fr/pixels/article/2017/02/08/l-entreprise-americaine-vizio-epinglee-pour-ses-televisions-connectees-trop-intrusives_5076643_4408996.html )

4 ter : https://home.kpmg.com/fr/fr/home/media/press-releases/2017/02/protection-des-donnees-personnelles-frein-consommateur.html

 

https://www.youtube.com/watch?v=7psJR-tcOxk&feature=share

 

le Cesin élabore 10 recommandations pour maîtriser les risques liés aux services Cloud

8juin 2016

 

le Cesin élabore 10 recommandations pour maîtriser les risques liés aux services Cloud

 

Face à l'adoption massive des offres Cloud, le Club des Experts de la Sécurité de l'Information et du Numérique 
se mobilise et entend diffuser quelques bonnes pratiques avant de « confier les clés ».


 (Source PR corporate)

 Le Cesin a mobilisé 130 de ses membres, soit la moitié de ses adhérents autour de la thématique du Cloud et des bonnes pratiques en matière de sécurité. Face à l’explosion du phénomène d'externalisation des données, il est fondamental pour le Cesin d'adopter une gestion des risques et de sécurité adaptée pour continuer d'assurer une protection efficace et cohérente des données de l'entreprise.

Selon les résultats du baromètre Cesin-OpinionWay 2016, 85% des entreprises stockent des données dans un Cloud. Si la pratique tend à se banaliser, face aux enjeux induits par l'émergence des offres disponibles sur le marché, le Cesin met en garde les dirigeants d'entreprises contre certaines dérives. L'association a confronté ses membres et un panel de spécialistes, dont l'Anssi, la CNIL et des juristes spécialisés, afin d'élaborer 10 recommandations issues de la réflexion et du partage d'expériences.

Longtemps cantonné aux recours ponctuels à des services SaaS, parfois directement par les métiers sans passer par la DSI, les grandes décisions désormais d’actualité en matière d’externalisation massives de données dans le Cloud entrainent une profonde évolution du SI de l’entreprise et des métiers qui le gèrent. Une des grandes tendances constatées ces derniers mois par le Cesin, concerne les projets de migration vers Office 365. En cas de recours à l’option Cloudcette migration pose des interrogations cruciales puisqu'elle modifie à la fois les usages, une partie de la stratégie de la DSI, les politiques de sécurité des systèmes d'information (PSSI) et leurs modes de contrôle.

Alain Bouillé, Président du Cesin, indique que : « L'arbitrage des opportunités versus risques doit être pris au niveau le plus haut de l'entreprise car les données concernées sont bel et bien des données cœur de métier. »

Les débats ont amené plusieurs pistes de réflexion portant sur la localisation des données, qui se heurte aux réglementations européennes, leur protection liée à une exposition nouvelle dans des clouds publics, le niveau de sécurité proposé par l’éditeur pas toujours à la hauteur des enjeux des plus exigeants, la perte de maitrise en matière de traçabilité des actions, la négociation des contrats avec les géants de cette industrie, qui nécessite une véritable expertise, les difficultés voire l’impossibilité d'auditer les solutions, ou encore les risques d’enfermement et donc l'irréversibilité de certaines solutions. Même si l’effet Snowden s’efface des mémoires avec le temps, il est utile de rappeler les risques pour certaines entreprises liées aux obligations des entreprises américaines vis-à-vis du Patriot Act.


Charles Schulz, membre du bureau
 de la politique industrielle à l'Anssi évoque les travaux en cours sur le référentiel «secure cloud» qui aboutira à la certification des offreurs libres d'en faire la demande. Quant aux accords commerciaux, il précise : « Si vous êtes dans une société multinationale évitez les contrats locaux et négociez un contrat global groupe, cela donne plus de poids à la négociation ; en outre exigez un contrat rédigé en français et signé dans un pays européen. Les phrases du type « seule la version anglaise fera foi » n’ont pas de valeur légale et doivent être supprimées. »

La version publique du référentiel de l'ANSSI sur le Cloud est prévue pour le second trimestre 2016.


Garance Mathias, Avocat à la Cour, ajoute que : « l’externalisation reste un choix stratégique pour les entreprises et les administrations, et qu’il convient d’être accompagné dans la mise en œuvre de ce choix. » En effet, indépendamment de la négociation des contrats, les réglementations sectorielles doivent être intégrées, et les bonnes pratiques juridiques opérationnelles prises en compte dès le début du projet (localisation des données, politique de sous-traitance, quelle protection de la propriété intellectuelle, du patrimoine informationnel ? Quelles sont les mesures de protection des données personnelles ?...). Garance Mathias, précise en outre qu' « Il est important d’évoquer la sortie du contrat, terme ou résiliation, avec les impacts opérationnels ainsi que le traitement des données personnelles. A la suite de la conclusion du contrat, ce dernier peut, compte tenu de l’évolution des textes ou du secteur d’activité, faire l’objet d’avenant, comme à la suite de l’invalidation du safe harbor. »

In fine, un contrat ne doit pas rester figé, il doit refléter l’accord des parties tout au long de son éxécution, d’autant que sa durée peut être longue, notamment dans le cadre des renouvellements par tacite reconduction.

 

Les 10 recommandations du CESIN face aux projets Cloud

 

  1. Estimez la valeur des données que vous comptez externaliser ainsi que leur attractivité en termes de cybercriminalité.

  2. S’il s’agit de données sensibles voire stratégiques pour l’entreprise, faites valider par la DG le principe de leur externalisation.

  3. Evaluez le niveau de protection de ces données en place avant externalisation.

  4. Adaptez vos exigences de sécurité dans le cahier des charges de votre appel d’offre en fonction du résultat du point 1.

  5. Effectuez une analyse de risque du projet en considérant les risques inhérents au cloud comme la localisation des données, les sujets de conformité et de maintien de la conformité, la ségrégation ou l’isolement des environnements et des données par rapport aux autres clients, la perte des données liée aux incidents fournisseur, l’usurpation d’identité démultipliée du fait d’une accessibilité des informations via le web, la malveillance ou erreur dans l'utilisation, etc. Sans oublier les risques plus directement liés à la production informatique : la réversibilité de la solution et la dépendance technologique au fournisseur, la perte de maîtrise du système d’information et enfin l’accessibilité et la disponibilité du service directement lié au lien Internet avec l’entreprise.

  6. Outre ces sujets, exigez un droit d’audit ou de test d’intrusion de la solution proposée.

  7. A la réception des offres analysez les écarts entre les réponses et vos exigences.

  8. Négociez, négociez.

  9. Faites valider votre contrat par un juriste. Si vous êtes une entreprise française, ce contrat doit être rédigé en français et en droit français.

  10. Faites un audit ou un test d’intrusion avant démarrage du service (si cela est possible) et assurez-vous du maintien du niveau de sécurité de l’offre dans le temps.

A propos du CESIN

Le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) est une association loi 1901, créée en juillet 2012, avec des objectifs de professionnalisation, de promotion et de partage autour de la sécurité de l'information et du numérique.

Le CESIN est un lieu d'échange de connaissances et d'expériences qui permet la coopération entre experts de la sécurité de l'information et du numérique et entre ces experts et les pouvoirs publics.

Le Club conduit des ateliers et groupes de travail, mène des actions de sensibilisation et de conseil, organise des congrès, colloques, ou conférences.

Il participe à des démarches nationales dont l'objet est la promotion de la sécurité de l'information et du numérique. Il est force de proposition sur des textes règlementaires, guides et autres référentiels.

Le CESIN réunit plus de 250 membres issus de tous secteurs d’activité publics et privés : des membres actifs, responsables de la sécurité de l'information dans leur organisation, des membres associés, représentants de diverses autorités en charge de Sécurité de l'Information au plan national, des juristes experts de la sécurité IT.

 

  MG 9439

FIC 2015: atelier cyberiques avec des membres du CESIN animé par @jpbichard 

 

BONUS :

www.cesin.fr

 

 

La startup Cryptosense remporte le Prix de l’Innovation des Assises de la Sécurité 2016

Source : Corporate Communication / Juillet 2016


La startup Cryptosense remporte le Prix de l’Innovation des Assises de la Sécurité 2016

Le Cercle Européen de la Sécurité et des Systèmes d’Information a organisé lors de son dernier rendez-vous, un Elevator Pitch pour départager les startups finalistes du Prix de l’Innovationdes Assises de la Sécurité. A l’issu de cette soirée, Cryptosenses’est vu remettre par le jury le Prix de l’Innovation, et 3dTrusta remporté la mention spéciale Prix du Public.

Créé en 2005, et en partenariat avec l’Atelier BNP Paribas depuis 2012, le Prix de l’Innovation des Assises est devenu, la référence en matière de récompense dédiée à l’innovation dans le domaine de la sécurité informatique.

Cryptosense, grand gagnant du Prix de l’Innovation

Cette année, la startup Cryptosense, s’est démarqué des trois autres finalistes[1] grâce à sa solution capable de détecter les vulnérabilités de sécurité dans les systèmes de cryptographie. La technologie de cryptographie demeure inviolable, cependant, une erreur dans le déploiement de cette dernière la rend vulnérable. Le logiciel de Cryptosense détecte ces erreurs et propose des solutions pour y remédier.

Grâce à ce prix, Cryptosense se voit offrir sa participation aux Assises en tant que partenaire et bénéficiera d’une véritable vitrine, auprès de tous les acteurs majeurs du secteur.

«Pour l’équipe Cryptosense, le Prix de l’Innovation est un véritable tremplin pour le Business. Remporter ce Prix arrive à point nommé puisque nous sommes à un stade de notre développement suffisamment avancé pour être démocratisé. Issue de la recherche, notre solution est désormais disponible en SaaS, et Les Assises seront l’occasion pour nous de le faire savoir à tout le marché ! » se réjouit Graham Steel, CEO de Cryptosense.

L’ensemble du Jury, composé de RSSI, DSI, d’experts de la SSI, et du lauréat 2015, a plébiscité Cryptosense pour la valeur ajoutée apportée par la solution, auprès des RSSI s’appuyant sur la cryptographie dans leur stratégie de cybersécurité.

« Le jury a récompensé le caractère unique de la solution Cryptosense, qui répond au besoin avéré des RSSI d’identifier et de maitriser les risques autour de la cryptographie. C'est un sujet pointu, et une opportunité de rappeler l'importance de l'expertise, et de la cryptographie, socle de base de la confiance de l'économie numérique, » souligne Yoann Jaffré, Directeur de l'Open Innovation Lab de L'Atelier BNP Paribas et membre du jury du Prix de l’Innovation.

« La solution de Cryptosense a un bel avenir devant elle grâce à son fort potentiel d’internationalisation. Elle bénéficie d’une réelle innovation, récompensée aujourd’hui par l’arrivée d’investisseurs de qualité comme Elaia ou encore IT Translation, » déclare Thierry Rouquet, président de Sentryo, lauréat 2015 du Prix de l’Innovation et membre du jury.

3dTrust, le coup de cœur du Public

La mention spéciale « Prix du Public » a été décernée cette année à la startup 3dTrust, également finaliste du Prix de l’Innovation.

3dTrust aide les entreprises industrielles à mieux intégrer l’impression 3D en fournissant le réseau digital sécurisé permettant la protection de la propriété intellectuelle et la traçabilité des pièces imprimées.

« Le Prix de l’Innovation, de part sa notoriété, bénéfice d’un fort rayonnement dans notre entourage professionnel, et notamment chez les partenaires avec lesquels nous travaillons. Participer au Prix de l’Innovation était donc une évidence, un peu comme un passage obligé lorsque l’on est une startup du secteur de la sécurité informatique. Nous ne pensions vraiment pas arriver en finale, c’est déjà pour nous une belle victoire, alors remporter le Prix du Public et ainsi bénéficier de la reconnaissance des professionnels présents, nous ravit davantage. Nous sommes extrêmement heureux et fiers d’avoir obtenu ce Prix, » affirme Alexandre Guérin, cofondateur de 3dTrust

Entretien Arnaud Kopp, directeur technique Europe chez Palo Alto "obtenir de la visibilité et anticiper"

Entretien Arnaud Kopp, directeur technique Europe chez Palo Alto, / Jean Philippe Bichard 31 mai 2016

 

"il faut obtenir de la visibilité" 

 

 

Palo Alto vient de publier via son "unité 42" un rapport (cf section BONUS) très révélateur sur l'évolution des ransomwares. Pourquoi avoir retnu ce type de cyber-menaces en particulier ? 

Les ransomwares  "réveillent" les entreprises en terme de sécurité. C'est leur coté positif. Pour les cyber-attaquants, le ROI des APT n'est pas évident alors que celui des ransomwares apparaît plus efficace d’où leur développement. Cela dit, il est possible de les contenir.

 

Quels sont les « Process » identifiés par Palo Alto au sujet des attaquants ?

Si l'on considère les différentes étapes depuis « l'injection du code », agir sur les commandes contrôle puis définir un mode de récupération de l'argent et enfin fournir les clés de déchiffrement en fin de négociation, une certitude : les cyber-attaquants doivent maîtriser l’ensemble sinon l'opération échoue. C'est la théorie de l'alignement des dominos.

 

Pour les entreprises il faut bloquer l'une des 5 étapes sinon c'est fini.

Oui et trop d'entreprise n'ont pas eu la prise de conscience sur les pépites que représentent les données numériques. L'état de l'art est en constante évolution. Il faut pour les entreprises anticiper aujourd'hui sur les attaques de demain peut être sur les IoT ou voitures connectées par exemple. Aujourd'hui l'équipement ne suffit plus, une bonne configuration notamment des services est toute aussi nécessaire.

 

 

D’où le déploiement de services par ailleurs très rentables aux cotés des solutions matérielles

Oui. Certains constructeurs étendent leurs offres aux services dédiés de type « threat intelligence » comme Wildfire chez Palo Alto. La Threat Intelligence autorise un tri de signaux faibles pour SIEM et SOC. Mais beaucoup de PME / PMI ne disposent pas de ce type de plate-formes. Le paiement à l'usage est une solution afin d'éviter trop de dépenses ; Il faut aussi éviter les mécanos compliqués en laissant chaque éditeur réinventer la roue. Les informations qui ressortent du Threat intelligence doivent êtres aussi prises en compte par des machines learning et parfois par l'intelligence humaine.

 

gartner-2016-Cyberisques

Source Gartner mai 2016  marché firewalls

 

Par rapport aux risques provoqués par les ransomwares, ou situez vous les informations traitées par les services de Threat intelligence ?

Bonne question ; J'ai envie de répondre qu il faut séparer les deux. Les ransomwares veulent êtres les plus rapides pour obtenir un rapide retour sur investissements en bref le paiement de la rançon. Le threat Intelligence permet la détection de signaux plus faibles généralement positionnés dans leur mission à l'opposé de celles confiées aux ransomwares. Il s'agit davantage de codes malveillants « dormants ». N'oublions pas qu'une arme efficace c est aussi une arme indétectable. Reste que l'attaquant doit lancer des recherches et donc risquer d'être tracé notamment dans les trafics cloud.

 

 

Paradoxalement, il faut surveiller attentivement les flux mais 25% des données échappent aux IT Managers qui sont censés les identifiées et les protégées

C'est vrai ; Il faut donc segmenter et classifier mais avant il faut obtenir de la visibilité .Chez Palo Alto nous fournissons des logs pour comprendre et éclairer le trafic propre au « shadow IT »

 

 

Règlement européen sur les données (GDPR) : est ce qu'un alignement techniques doit s'adapter aux contraintes réglementaires du GDPR ?

Certainement et si ce n est pas le cas, les commissaires aux comptes vont contribuer a établir le niveau de gestion des risques demandé par ce nouveau règlement EU. 70% d'entreprises ne disposent pas de procédures de notifications : pour les OIV les procédures sont en place. Mais pour les autres entreprises une version d'obligation de notifications s'avère nécessaire.

classification-données

Source HPE 2016

 

Précisément, quelles solutions apporte Palo Alto en notification ?

Via nos équipements et applications nous disposons de 100% de visibilité des flux que nous traitons (volumétrie, origine, destinations, applications..) y compris sur les applications Shadow IT comme Dropbox par exemple.

Propos recueillis par @jpbichard

 

 

BONUS :

http://cyberisques.com/fr/mots-cles-3/506-rapport-cybersecurite-ponemon-palo-alto-serveurs-et-antivols-memes-mecanismes

https://www.paloaltonetworks.com/resources/research/ransomware-report

 

 

Ransomwares-Palo-Alto

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information