Edouard de Rémur, OODRIVE : les RSSI doivent valider le critère de sécurité des outils utilisés pour préserver les informations d’importance vitale ou stratégiques
octobre 2018 par Marc Jacob
A l’occasion des Assises de la Sécurité, OODRIVE présentera ses solutions phares de travail collaboratif et de partage sécurisé de documents, ainsi que sa plateforme BoardNox pour dématérialiser les réunions de gouvernance et fluidifier l’organisation des réunions stratégiques. Edouard de Rémur, Co-fondateur et Directeur Général d’OODRIVE, considère que les RSSI doivent valider en priorité le critère de sécurité des outils utilisés par l’entreprise afin de préserver les informations d’importance vitale ou stratégiques.
Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?
Edouard de Rémur : Nous participons chaque année à ce rendez-vous incontournable de la cybersécurité. Pour cette 18ème édition, nous avons allons présenter nos solutions phares de travail collaboratif et de partage sécurisé de documents, ainsi que notre plateforme BoardNox pour dématérialiser les réunions de gouvernance et fluidifier l’organisation des réunions stratégiques. Les assises sont également l’occasion de présenter nos solutions d’authentification et de signature électronique et le tout nouveau produit de Digital Asset Management que nous avons intégré suite à l’acquisition d’Orphea, pour la gestion des ressources numériques.
GS Mag : Quel sera le thème de votre conférence cette année ?
Edouard de Rémur : Le mercredi 10 octobre de 16h00 à 16h45, nos experts s’exprimeront lors d’un atelier sur la thématique : « Partage dans le cloud : quel niveau de sécurité pour les données très sensibles, dont DR ? ». C’est un sujet qui intéresse toutes les organisations qui traitent des informations sensibles, notamment de niveau diffusion restreinte (DR).
Nous souhaitons apporter plus d’éclairage sur les exigences règlementaires ainsi que les pistes opérationnelles à considérer pour le partage sécurisé de données. Je parle notamment des technologies de chiffrement de bout en bout. En imbriquant cette technologie dans l’éco-système de sécurité de l’entreprise et en rendant son utilisation totalement transparente par l’utilisateur, il est possible de mieux maîtriser et sécuriser le partage de données très sensibles. Oodrive a en effet développé une solution de chiffrement qui permet aux entreprises d’utiliser leur propre autorité de certification comme racine du chiffrement de bout en bout. Les clés de chiffrement sont ainsi directement reliées aux certificats PKI (Public Key Infrastructure) des utilisateurs. Cela garantit une meilleure conformité du chiffrement des échanges et transferts de documents.
Lors de cet atelier, Michel Juvin, CISO Expert Cyber Sécurité et membre du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), Jeremy Courtial, Software Architect chez Oodrive et moi-même, dresserons un état des lieux sur le sujet.
GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2018 ?
Edouard de Rémur : 2017 aura été une année particulièrement chargée en matière de cyberattaques. En 2018, la cybermenace n’a cessé de se renforcer et de se sophistiquer en paralysant plusieurs entreprises dans le monde. Selon le rapport annuel de cybersécurité de Cisco, 31% des professionnels de la sécurité disent que leur entreprise a déjà connu des cyberattaques sur l’infrastructure OT. Chez Oodrive, nous sommes convaincus que les entreprises et plus particulièrement les OIV et les entités gouvernementales devront s’appuyer sur des technologies de chiffrement et sur des solutions de sécurisation des échanges et des données partagées pour faire face aux menaces de cybersécurité. Cela permet d’anticiper les cyberattaques mais aussi le cyber-espionnage, très souvent négligé car invisible et souvent lié à des enjeux géopolitiques. Les organisations, quelle que soit le secteur d’activité, devront rendre leurs données inaccessibles ou illisibles aux cyber-espions. Cela passe inévitablement par des logiciels ultra-sécurisés, par de l’authentification et de la cryptographie, et par une vigilance accrue des organisations face au Shadow IT.
GS Mag : Quid des besoins des entreprises ?
Edouard de Rémur : Nous avons identité trois besoins clés au sein des entreprises. Tout d’abord, le besoin de mieux travailler en équipe dans un contexte de mobilité. Ensuite, la digitalisation de leurs processus métier pour accélérer leur transformation numérique. Cette dernière peut notamment être freinée par des problématiques d’authentification, de valeur légale, ou encore par manque de solutions à la fois simples et sécurisées, à déployer rapidement. Enfin, nous observons une vraie prise de conscience des entreprises en matière de sécurité. Les organisations veulent intégrer la sécurité et la protection des données à tous les niveaux de l’organisation : messagerie électronique, navigateur web, hébergement de données, solutions de sauvegarde de documents, outils de collaboration en ligne. Encouragées par les recommandations de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), les entreprises sont plus pointues dans le choix de leurs solutions informatiques. Elles définissent de plus en plus des Stratégies de Systèmes d’Information et exigent des certifications qui garantissent la protection de leurs données et leur confidentialité.
GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?
Edouard de Rémur : Nous faisons face à des clients de plus en plus exigeants compte tenu des nouvelles réglementations. Notre offre est d’ores et déjà adaptée aux spécificités métiers de nos clients ainsi qu’à leurs attentes en matière de sécurité, d’hébergement, d’authentification forte.
Notre stratégie d’offres s’articule autour de trois axes majeurs :
• Offrir des solutions métier pour répondre à des cas d’usage spécifiques. C’est le cas de notre outil BoardNox de dématérialisation des réunions de gouvernance tels que Conseils d’Administrations ou Comité de Direction. Notre solution Orphea de Digital Asset Management permet de répondre aux enjeux de stockage, de gestion et de valorisation des ressources numériques des directions communication et marketing. Nous avons également la solution DilRoom destinée aux directions financières pour collaborer autour de projets d’acquisition.
• Fournir un très haut niveau de confidentialité et de sécurité aux données de nos clients. Nous travaillons en étroite collaboration avec les organismes tels que l’ANSSI pour répondre aux besoins de nos clients et partenaires. Nous continuons aussi notre démarche d’innovation dans les domaines liés à la confiance numérique, tels que la signature électronique ou l’authentification.
• Passer d’une suite logicielle SaaS àune plateforme intégrée. Nous faisons évoluer notre offre vers une plateforme intégrée et modulaire autour de la gestion de la donnée et de sa confidentialité. Ce qui va nettement améliorer l’expérience utilisateur, l’efficacité des équipes IT et une meilleure connectivité avec les grands acteurs de la Digital Workplace.
GS Mag : Avec l’entrée en vigueur du RGPD, la « security et la privacy by design » deviennent quasi incontournables. Quel sera votre positionnement en ce domaine ?
Edouard de Rémur : Depuis la création d’Oodrive, nous avons eu pour objectif majeur d’accompagner les entreprises dans leur transition vers le cloud en leur fournissant des solutions avancées en matière de confidentialité et de sécurité. La mise en application du Règlement européen sur la protection des données (RGPD) a confirmé la nécessité d’intégrer les principes du règlement dès la conception d’un service, d’un outil ou d’un projet qui manipule les données personnelles.
Dès 2014, nous avons renforcé notre démarche de protection des données à caractère personnel sous la bannière de la certification Cloud Confidence. Nous avons par ailleurs mis en place des actions d’audit et de certification de l’hébergement, des outils d’administration et de gestion précise des droits, des technologies de chiffrement des données partagées ou au repos... Nous appliquons également le principe préventif de « security et privacy by design » qui limite les risques d’abus et de violation de données dès la conception des produits et durant leur utilisation. En résumé, nous travaillons à la fois sur la conformité des données au sein de nos applications, ainsi qu’à la fourniture des services demandés par la règlementation en termes de reporting et de preuve.
GS Mag : Quel est votre message aux RSSI ?
Edouard de Rémur : Dans un contexte d’entreprises de plus en plus confrontées au cyber-risque et au règlement sur la protection des données, les RSSI gagnent en légitimité. Nous avons constaté une plus grande implication de leur part dans les projets que nous menons avec nos clients. Et nous y sommes bien sur très favorables car leur avis doit compter dans les décisions et les choix des solutions informatiques.
Le message principal que nous leur adressons c’est de valider en priorité le critère de sécurité des outils utilisés par l’entreprise afin de préserver ses informations d’importance vitale ou stratégiques. En effet, il est essentiel qu’ils choisissent des solutions soumises uniquement à la réglementation européenne et pas auCloud Act (Clarifying Lawful Overseas Use of Data Act), loi votée par le Congrès américain et qui donne la possibilité aux autorités américaines d’accéder aux données stockées ou transitant à l’étranger, dès lors qu’elles sont hébergées par des opérateurs et fournisseurs de services en ligne américains.
Par ailleurs, les RSSI sont les mieux placés pour exiger des prestataires de services des certifications tangibles en matière de sécurité et une totale transparence. A ce titre, la qualification SecNumCloud est un gage de confidentialité et de transparence dans ce domaine. C’est une garantie supplémentaire que les données, une fois dans le cloud, ne subissent pas de perte, de vol, de vente à un tiers ou d’espionnage industriel...
Articles connexes:
- Stephan Ichac, 3M France : Les filtres de confidentialité, pour aller jusqu’au bout de la démarche RGPD
- Jacques de La Rivière, Gatewatcher : Pour mieux parer les attaques, il faut raisonner comme un Hacker !
- Vincent Meysonnet, Bitdefender : Le chiffrement des disques et la gestion des correctifs pour réduire la surface d’attaque
- Arnaud Cassagne, Newlode : La sécurité manuelle doit laisser place à la sécurité automatisée…
- Guillaume Gamelin, F-Secure France : en matière de cybersécurité, pensez services managés !
- Xavier Lefaucheux, WALLIX : Avec WALLIX, optez pour la cybersécurité simplifiée !
- Moncef Zid, NETSCOUT Arbor : La protection contre le DDoS doit devenir un sujet prioritaire pour les RSSI
- Ramyan Selvam, Juniper Networks : l’automatisation de la sécurité est un enjeu stratégique pour les entreprises
- Chardy N’DIKI, Centrify : « Zéro Trust » sécurise les accès business et les accès à hauts privilèges en tenant des différents contextes d’usage
- Laurent Lecroq, Forcepoint : Les solutions techniques ne sont plus suffisantes
- Pierre Calais, Qualys : Notre objectif est de fournir des outils proactifs pour renforcer les défenses avant l’attaque
- Sébastien Faivre, Brainwave : Nos solutions ont pour objectif d’aider les RSSI à y voir plus clair
- Coralie HERITIER, IDNOMIC : l’identité numérique agit comme un véritable catalyseur d’innovation
- Michael Vaeth, ForgeRock : les RSSI doivent avoir conscience de la nécessité de tenir compte des nouvelles normes de confidentialité et de consentement
- Stéphane Dahan, CEO de Securiview : Anticipez l’inattendu !
- Kevin POLIZZI, Jaguar Network : le cloud et la virtualisation sont en train de révolutionner les technologies de sécurité
- Fabien Corrard, Gfi Informatique : l’analyse de logs doit être laissée à des experts SIEM outillés !
- Hervé Rousseau,OPENMINDED : il est possible de faire des choix stratégiques et disruptifs qui vont présenter un rapport “coût/amélioration de la posture sécurité” efficient
- Eric Guillotin, Imperva : il est primordial d’évaluer les risques, détecter les menaces, prévenir et neutraliser les attaques
- Marie-Benoîte Chesnais, CA Technologies : la sécurité doit se fondre dans le décor !
- Jean-Nicolas Piotrowski, ITrust : n’attendez plus pour contrer les tentatives d’intrusion !
- Alexandre Souillé, Président d’Olfeo : Notre concept de sécurité positive permet de générer un environnement de confiance sur Internet
- Karim Bouamrane, Bitglass : Avec les CASB, les entreprises disposent d’une solution de choix pour protéger leurs données dans le Cloud
- Laurence Cozlin, NETSKOPE : Mieux vaut sécuriser les applications que de bloquer leurs accès
- Didier Guyomarc’h, ZSCALER : Du fait de ses mises à jours régulières, le Cloud vous protège contre les logiciels malveillants
- Matthieu Dierick, F5 : Rendez la sécurité de vos infrastructures plus agile, grâce à l’automatisation et l’orchestration
- Laurent Hausermann, SENTRYO : Les RSSI et les Responsables Sécurité doivent collaborer avec le monde industriel
- Jean-Christophe Mathieu, Siemens SAS : le facteur humain, clé de voûte de la sécurité des systèmes industriels
- Xavier Rousseau, Ixia : Les entreprises de déchiffrer le trafic et de tester leurs infrastructures
- Raphael Basset, ERCOM : Nos solutions de communications et de collaboration réconcilient efficacité, sécurité, confidentialité et souveraineté
- Ali Neil, Verizon : la sécurité devrait être une tâche courante et non pas une tâche effectuée une fois par an
- Jeremy Grinbaum, Box : Nous aidons les entreprises à prendre le contrôle de vos données tout en restant conforme aux législations en vigueur
- Laurent Marechal, McAfee : face à l’avènement du Cloud il faut maintenir les niveaux d’exigences existants en termes de sécurité et de conformité
- François Baraër, Cylance : l’Intelligence Artificielle est une révolution pour la cybersécurité !
- Cyrille Badeau, ThreatQuotient : L’efficacité de votre défense passe par l’amélioration de la collaboration entre services et par la capitalisation sur le renseignement
- Théodore-Michel Vrangos, I-TRACING : le RSSI doit s’adapter en amont à la stratégie de l’entreprise et lui apporter ses expertises
- Frédéric Bénichou : il est urgent de passer à des solutions de nouvelles générations pour protéger le poste de travail
- Fabrice Clerc, 6CURE : les entreprises prennent peu à peu conscience de la menace engendrée par les DDoS
- Emmanuel Jacque, SAS : Innover plus vite que les fraudeurs ou les cybercriminels
- Ghaleb Zekri, VMware : La virtualisation permet de mieux sécuriser vos applications
- Daniel Bénabou et Daniel Rezlan, IDECSI : Notre ADN est depuis notre création centré sur l’apport de solutions pensées pour les équipes sécurité
- Alexandre Delcayre, Palo Alto Networks : Il faut optimiser et automatiser les opérations autour de la cybersécurité
- Julien Tarnowski, ForeScout Technologies : La sécurité de votre réseau local et sites distants passe avant tout par la visibilité de tous les devices
- Christian Pijoulat, Logpoint : Notre SIEM offre une vision claire des dépenses grâce à sa tarification à l’IP
- Lucie Loos, Nameshield : Nous souhaitons accompagner et conseiller les RSSI et DSI dans la mise en place de leur stratégie de sécurité .
- Michel Lanaspèze, SOPHOS : Les RSSI et les Responsables Sécurité doivent collaborer avec le monde industriel
- Karl Buffin, Skybox Security : vers une vision proactive et totale de la surface d’attaque
- Laurent Cayatte, Metsys : « Security Excellence Center », le service de sécurité managé de Metsys
- Alain Dubas, CISCO : devant la recrudescence des attaques, les RSSI et DSI doivent s’équiper de solutions intégrées et réactives
- Emmanuel Gras, Alsid : les infrastructures Active Directory sont le point névralgique de vos systèmes d’information
- Sébastien Gest, Vade Secure : le phishing représente un véritable fléau pour les entreprises
- Thierry Brengard, CenturyLink : il est plus facile d’agir lorsqu’on connait les risques
- Didier Wylomanski, Gemalto : protection et contrôle des données, quelle stratégie adopter ?
- Arnaud Gallut, Ping Identity : ne négligez pas la sécurité de vos API !
- Bastien Bobe, Lookout : le mobile apparaît dorénavant comme le maillon faible de la chaîne
- Hervé Liotaud, SailPoint : la gouvernance des identités permet de lutter contre les menaces tout en respectant les obligations réglementaires de conformité
- Bernard Montel, RSA : le tryptique « Logs, réseau, poste » est crucial
- Vincent Merlin, Proofpoint : l’humain doit être le point central de toute politique de sécurité
- Gaël Kergot, ServiceNow : De la réponse à incidents de sécurité au suivi de la conformité et des risques
- Matthieu Bonenfant, Stormshield : Nous défendons une vision résolument Européenne avec à la fois plus de protection et de transparence
- Julien Cassignol, One Identity : En matière d’IAM les RSSI doivent pratiquer la politique des petits pas
- Erwan Jouan et Nicolas Liard, Tufin : la culture DevOps a fait évoluer le modèle de la cybersécurité
- Cyrille Barthélémy, PDG d’Intrinsec : du SOC à la Cyber Threat Intelligence
- Rémi Fournier et Eric Derouet, Synetis : Nous souhaitons aider les RSSI dans la maîtrise des risques liés au numérique
- Grégory Cardiet, Vectra : l’IA peut créer de plus en plus de valeur pour les RSSI et leurs organisations
- Gérôme Billois, Wavestone : RSSI, positionnez-vous aussi comme le responsable de la sécurité des données de vos clients !
- David Grout, FireEye : La sécurité doit se baser sur l’étude du risque métier et la connaissance des attaquants et de leurs techniques
- Jan Van Vliet, Digital Guardian : placez vos données au centre de votre sécurité
- Mathieu Rigotto, IMS Networks : Connaitre sa surface d’attaque pour réduire les risques
- Antoine Coutant, Systancia : il est essentiel de pouvoir détecter une attaque externe ou interne pour être en capacité de réagir