Journal quotidien finance-innovation daily news
Financial Year Financial Year

Journal quotidien Finyear : finance-innovation all the year

 
 
 


              



RGPD 2018 : tester ses défenses de sécurité pour vérifier la conformité !


Interview de Jean-François Pruvot, Regional Director France & Benelux chez CyberArk.



Jean-François Pruvot
Jean-François Pruvot
Au cœur des conversations depuis des mois, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur en Europe le 18 mai 2018, et la question sur toutes les lèvres est la suivante : les entreprises seront-elles prêtes ? Selon le rapport Risk:Value de NTT Security, 40 % des décideurs interrogés, identifient le RGPD comme une régulation qui affectera leur organisation. Pour Jean-François Pruvot, même s’il ne faut pas généraliser, la plupart d’entre elles ont besoin d’aide pour être conformes dans les délais impartis. De nombreuses études ont en effet démontré le décalage entre la perception des entreprises sur leur pratiques de sécurité et la réalité, cyberattaques à l’appui.

Comment aidez-vous les entreprises à protéger leurs données sensibles pour respecter le règlement RGPD ?

Le RGPD induit une écoute accrue des activités au sein des réseaux. Les attaquants visent en effet en priorité les comptes à privilèges, plus connus sous le nom de comptes administrateurs, afin d’accéder aux systèmes et applications sensibles qui détiennent des données personnelles. Ces comptes donnent l’accès à l’ensemble du système de l’entreprise et permet aux pirates informatiques d’en prendre le contrôle total. C’est pourquoi, il est essentiel de les protéger en priorité. Nous proposons aux organisations des outils de sécurité leur permettant une surveillance en temps réel afin d’identifier rapidement les activités non autorisées, suspicieuses et à risques élevés.

Est-il possible de contrôler facilement ces comptes et droits d’accès ?

Outre l’accès aux données personnelles, les entreprises sont aussi tenues de limiter le risque de destruction malveillante de ces informations, de perte, d’altération, et de révélations non autorisées. Une longue liste qui peut s’avérer difficile à respecter, notamment dans les grandes entreprises. Le plus simple est de recourir à une solution de contrôle d'accès centralisée qui permet de réguler et de surveiller plus facilement les accès de chacun en fonction de leurs attributions respectives. Ce type d’outil limite de facto l’accès des comptes administrateurs, et applique le principe du moindre privilège dans lequel chaque utilisateur ne peut accéder qu’aux ressources qui lui sont utiles.

Peut-on détecter rapidement les intrusions ?

Outre la notion de capacité, le RGPD exige de signaler toute compromission de données personnelles dans les 72 heures suivant la détection. Donc nous aidons les entreprises à identifier les activités malveillantes en temps réel, mais aussi à contenir la menace au tout début de l’attaque, pour empêcher le pirate informatique d’accéder aux informations. Pour ce faire, nous disposons d'un moteur d'analyse qui s'appuie sur une modélisation statistique, sur le machine learning, sur l'analyse du comportement des utilisateurs ainsi que sur des algorithmes déterministes. Cette alliance détecte les hackers et les utilisateurs internes malveillants qui naviguent sur le réseau ; les équipes disposent ainsi du temps nécessaire pour bloquer l’assaillant avant qu’il n’atteigne son objectif final.

Comment les entreprises peuvent-elles gérer efficacement leurs contrôles de sécurité et mesurer les risques ?

En effectuant des exercices de sécurité, à l’image des exercices d’évacuation organisés par les entreprises. Pour ce faire, elles peuvent faire appel à une équipe d’intervention de sécurité telle que la « Red Team » de CyberArk pour tester leur conformité. Ce terme américain d’origine militaire, datant des années 50-60, désigne un groupe indépendant défiant une organisation sur un sujet précis dans le but de la perfectionner. Nos experts offrent aux équipes de sécurité un moyen sûr de tester leur capacité à défendre l’entreprise contre toute cyberattaque de manière efficace. Pour cela, ils utilisent divers stratagèmes, tactiques et procédures en situation réelle pour aider les clients à mesurer le risque encouru par leurs données critiques, identifier les vulnérabilités, tester les processus de sécurité et identifier les zones d’amélioration. De cette manière, les entreprises déterminent plus facilement si les mesures et mécanismes de sécurité en place leur permettent de garantir la protection des données et de répondre aux exigences du RGPD.

Comment peuvent-elles minimiser les risques ?

Par l’anticipation ! Toute entreprise doit partir du principe qu’elle sera tôt ou tard victime d’une attaque. Le constat actuel est que la menace se trouve déjà à l’intérieur. Donc, en cas de faille, chaque organisation doit être en mesure de prouver qu’elle a respecté ses obligations – et dans certains cas – déterminer le fautif, lorsqu’un tiers – partenaire – est impliqué. La question devient alors : qui possède les accès et à quels systèmes et applications ? Nos outils permettent aujourd’hui aux entreprises d’identifier les comptes à privilèges et leurs utilisateurs, y compris ceux utilisés par des intervenants extérieurs. Ils bénéficient d’un rapport complet incluant la liste des comptes et des identifiants qui y sont associés, ainsi que leur statut à date en corrélation avec les politiques de sécurité en place au sein de l’entreprise. Les clients ont ainsi accès aux détails relatifs à l’utilisation de ces comptes et peuvent de cette manière identifier les problèmes qui en découlent : trop de comptes non surveillés, erreurs de manipulation, utilisations malveillantes, etc. Si l’ensemble de ces mesures sont appliquées en amont d’une attaque, l’entreprise aura plus de chance de se prémunir et de rectifier les erreurs identifiées en cas d’attaque.

Les entreprises seront-elles prêtes à temps selon vous ?

Experts et études sont unanimes, la plupart des organisations ne seront malheureusement pas prêtes au moment de l’entrée en vigueur du RGPD en mai 2018. L’amende peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires de l’entreprise concernée. En plus de l’aspect financier non négligeable, cela peut également impacter la fidélité client, engendrer des pertes financières conséquentes ou encore fragiliser l’image de marque. Il est donc stratégiquement judicieux et nécessaire pour les organisations de s’intéresser de près à cette question. Quant aux entreprises ayant déjà une politique de gestion des points d’accès en place, le sujet est déjà au cœur des discussions pour les RSSI, les responsables de la conformité, les départements juridiques et les équipes informatiques !

Jean-François Pruvot, merci d'avoir répondu à nos questions et rendez-vous très prochainement dans un nouveau numéro de Finyear.

© Copyright Finyear. Propos recueillis par la rédaction de Finyear.

Lisez gratuitement :

FINYEAR

Le quotidien Finyear :
- Finyear Quotidien

Sa newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation & Digital transformation.

Ses 4 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief Digital Officer

Finyear magazine trimestriel digital :
- Finyear Magazine

Un seul formulaire d'abonnement pour choisir de recevoir un ou plusieurs médias Finyear

BLOCKCHAIN DAILY NEWS

Le quotidien Blockchain Daily News :
- Blockchain Daily News

Sa newsletter quotidienne :
- Blockchain Daily News Newsletter
Recevez chaque matin par mail la newsletter Blockchain daily News, une sélection quotidienne des meilleures infos et expertises en Blockchain révolution.

Sa lettre mensuelle digitale :
- The Chief Blockchain Officer

Vendredi 21 Juillet 2017
Notez


Nouveau commentaire :
Twitter

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les derniers articles publiés sur Finyear



Blockchain Daily News


Actus Nasdaq