Si la cybersécurité est indispensable aux entreprises, celles-ci n'ont comme vocation ni à « faire de l'informatique » ni à « faire de la sécurité ». La cybersécurité ne doit donc jamais être une gêne pour le métier de l'entreprise. Derrière cette proclamation qui fait toujours plaisir, il reste à mettre en oeuvre ce principe. Pour entendre des témoins et des experts expliquer le comment faire, CIO a organisé une matinée sur le thème « Pour une cybersécurité compatible avec le business : Intelligence Artificielle et analytique au service de la sécurité » le 20 mars 2018 à Paris. Cette conférence CIO a été réalisée en partenariat avec Darktrace, Imperva, Ivanti et NTT Security.
Comme à chaque fois que l'on parle de cybersécurité, les bonnes pratiques que l'on peut croire -par faiblesse- bien entrées dans les moeurs sont, quand on interroge les gens, en fait, loin d'être des réalités. C'est ce qu'a montré une nouvelle fois l'étude CIO Comment sécuriser le SI sans gêner les métiers ? qui a été présentée en ouverture de la matinée. Même l'intégration des métiers et du business dans la gestion de la sécurité laisse à désirer.
Kevin Heydon est le Directeur Sécurité de l'Information du Groupe L'Occitane et a revendiqué de ne pas être RSSI. (crédit : Bruno Levy)
L'important, pour l'entreprise, pour son activité, n'est pas la sécurité informatique mais la sécurité de l'information. C'est sur ce point très précis qu'est surtout intervenu le premier témoin de la matinée, Kevin Heydon, Directeur Sécurité de l'Information du Groupe L'Occitane. « En France, le terme consacré est RSSI, responsable de la sécurité du système d'information, or nous ne sommes pas là pour sécuriser le système d'information mais l'information » a plaidé Kevin Heydon. Si un collaborateur discute d'éléments confidentiels dans un TGV, Kevin Heydon estime que cet incident rentre dans son périmètre. Pour gérer le maillon faible humain, il faut inclure les dimensions humaine et organisationnelle à la sécurité de l'information.
Avec 1,3 milliard d'euros de chiffre d'affaires, le groupe L'Occitane dispose de quatre grandes marques de cosmétiques, dont L'Occitane en Provence. International, premier groupe français côté à la Bourse de Hong-Kong, il est présent dans 90 pays avec 8500 collaborateurs et 3000 boutiques (dont la moitié en propre). Il est à la fois producteur et distributeur. Et l'information doit évidemment circuler, non seulement en interne mais aussi avec des partenaires, comme les boutiques par exemple. Pour être un vrai partenaire du business, il s'agit donc de clairement poser les bonnes questions, mettre en mains des métiers les enjeux. Après, à chacun d'assumer ses décisions.
Sylvain Defix, Senior Solution & Alliances Manager chez NTT Security, s'est interrogé « Sécurité opérationnelle et attentes métiers : l'impossible réconciliation ? » (crédit : Bruno Levy)
« Sécurité opérationnelle et attentes métiers, la réconciliation est-elle impossible ? » s'est interrogé Sylvain Defix, Senior Solution & Alliances Manager chez NTT Security. Dans toutes les entreprises, la sécurité opérationnelle est une problématique à la fois inéluctable et à forts impacts, que ce soient des impacts directs sur le fonctionnement, sur la réputation, etc. Réduire le temps de détection et de réponse à un incident de sécurité entraîne une forte réduction des coûts. Au nom du business, il faut donc réconcilier deux approches aux logiques opposées : l'approche basée IT avec des temporalités longues au fil des évolutions de versions, mois après mois, années après années ; et l'approche orientée menaces, avec les innombrables vulnérabilités révélées quotidiennement. De plus, tout système de détection d'incident doit absolument éviter les faux positifs pour que les alertes continuent d'être suivies.
« L'intelligence artificielle en appui de la cybersécurité » a été défendu par Eric Guillotin, Senior Sales Engineer chez Imperva. (crédit : Bruno Levy)
Pour multiplier les analyses en évitant les faux positifs, l'intelligence artificielle est une approche qui a été défendue par Eric Guillotin, Senior Sales Engineer chez Imperva. Dans un premier temps, il est bien sûr nécessaire que l'outil acquiert un apprentissage. Celui-ci peut être ou non supervisé par des humains. Les accès légitimes sont en effet de plus en plus nombreux et complexes (accès ubiquitaires, etc.) et donc de plus en plus difficiles à analyser. Eric Guillotin a dénoncé : « trop souvent, on stocke des logs uniquement pour des raisons réglementaires ou des analyses après incident ». La bonne pratique, bien entendu, est inverse : les logs doivent être analysés. Et pour éviter d'être noyé dans des logs trop nombreux et trop complexes, l'AI peut être un recours. Elle peut en effet découvrir automatiquement les incidents de sécurité et agréger les alertes pour mieux traiter les problèmes.
Pierre Ng, RSSI chez Toyota Financial Service, a déployé des technologies innovantes pour sa cybersécurité mais pas seulement. (crédit : Bruno Levy)
Cette approche technologique a justement été celle de Toyota Financial Service. Filiale financière du groupe automobile, elle intervient pour aider au financement de l'acquisition de véhicules aussi bien par les particuliers que par les entreprises. Etablissement financier, l'entreprise est évidemment soumise à de lourdes contraintes réglementaires. Certaines solutions basiques comme les firewalls, antivirus, antispams, etc. sont acquis de manière internationale (McAfee, Palo-Alto, Qualys...). Des solutions plus spécifiques peuvent être déployées sur une initiative locale, ce qu'a réalisé Pierre Ng, RSSI chez Toyota Financial Service. « Nous avons des données très sensibles comme les coordonnées bancaires de nos clients » a constaté Pierre Ng. Pour éviter que « ça bippe de partout », Toyota Financial Service a notamment déployé une appliance de sécurité Darktrace. Celle-ci utilise l'intelligence artificielle pour analyser les logs et ne remonter, au bout d'un temps d'apprentissage, que des alertes pertinentes.
Hippolyte Fouque, Senior Cyber Security Manager chez Darktrace, a présenté « Nouvelles phases de Cyber Menaces : Vers l'auto-apprentissage et l'auto-défense des réseaux » (crédit : D.R.)
Hippolyte Fouque, Senior Cyber Security Manager chez Darktrace, est ensuite intervenu pour montrer le fonctionnement d'une telle appliance en temps réel. Le principe est d'utiliser le machine learning pour analyser les comportements de terminaux découverts dans le réseau grâce à une sonde. L'appliance peut ensuite détecter les comportements inhabituels et, s'ils sont juger dangereux, directement les bloquer ou bien, en cas de niveau d'alerte moindre, simplement les signaler aux opérateurs humains.
Typiquement, un simple PC d'utilisateur final qui commence à scanner le contenu du réseau est probablement corrompu. Darktrace va donc immédiatement isoler cette machine.
Alain Bouillé, président du CESIN, a présenté la vision des directeurs de la sécurité sur les cyber-risques. (crédit : Bruno Levy)
Le président du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), Alain Bouillé, a été le Grand Témoin de la Matinée. Fort de 400 membres RSSI de grands comptes, le club permet des échanges entre pairs avec une certaine confidentialité. Evidemment, la cybersécurité est un sujet de tension et de difficultés mais il ne faut pas paniquer non plus. Parmi les sujets délicats à traiter, il y a évidemment le cloud. Alain Bouillé en a plaisanté : « comme le mariage est une manière de résoudre à deux des problèmes que l'on n'aurait pas eu seul, le cloud est un incontournable qui complique la tâche et doit être traité. » Une autre difficulté majeure est de pouvoir travailler avec des start-up de la sécurité sans être bloqué par des procédures d'achat trop lourdes.
Vincent Peulvey, directeur avant-vente EMEA South chez Ivanti, a expliqué « Le Machine Learning au service de l'automatisation et de la sécurisation IT » (crédit : Bruno Levy)
Pour que la sécurité soit humainement possible à assurer dans un contexte de plus en plus complexe, « l'automatisation et l'industrialisation sont clés » a insisté Vincent Peulvey, directeur avant-vente EMEA South chez Ivanti. Cela implique, par exemple, de pouvoir automatiser les déploiements de patches, la segmentation des profils utilisateurs... Une faille classique de sécurité est ainsi le décommissionnement des comptes utilisateurs plusieurs mois après le départ d'une personne. C'est d'autant plus grave que le collaborateur est « à pouvoirs ». C'est d'autant plus gênant que l'entreprise utilise des solutions en mode SaaS par définition accessibles de l'extérieur sans traces sur les logs gérés en interne.
Aurélie Michaud, CISO groupe adjointe de la Société Générale, a témoigné des réponses d'une grande banque internationale. (crédit : Bruno Levy)
Dernier témoin de la matinée, Aurélie Michaud, CISO groupe adjointe de la Société Générale, a expliqué comment une grande banque internationale présente mondialement pouvait gérer la sécurité. Les défis à relever sont particulièrement importants à l'heure de l'open-banking. Les banques doivent en effet non seulement sécuriser l'accès ubiquitaire des clients mais aussi permettre à des acteurs tiers (y compris concurrents) d'agir au nom de leurs clients. Une banque se doit donc d'innover. Mais pas seulement : le défi de la formation des humains est fondamental.
De gauche à droite : Aurélie Michaud (CISO groupe adjointe de la Société Générale), Kevin Heydon (directeur Sécurité de l'Information du Groupe L'Occitane) et Pierre Ng (RSSI chez Toyota Financial Service). crédit : Bruno Levy
Enfin, une table ronde sur « la sécurité, en enjeu humain, un enjeu business » a réuni les trois témoins de la matinée : Kevin Heydon, Pierre Ng et Aurélie Michaud. Après une confrontation (somme toute assez consensuelle) sur les manières de bien travailler avec les métiers pour définir une bonne politique commune de sécurité, les trois responsables ont répondu aux questions de la salle.
La matinée s'est conclue, comme à chaque CIOnférence, par un cocktail déjeunatoire permettant aux assistants de visiter les stands des partenaires comme lors du petit-déjeuner d'accueil et de la pause de mi-matinée. (crédit : Bruno Levy)