Guide sur la cybersécuruté

Palo Alto Networks : l’éducation, la collaboration contre les menaces

Dossier : Dossier FFEMagazine N°721 Janvier 2017
Par Arnaud KOPP

Votre entreprise existe depuis 10 ans dans le domaine de la cybersécurité,
rappelez-nous la mission essentielle de votre entreprise ?

Dans les années à venir, le groupe Palo Alto Net­works veut cou­vrir la sécu­rité de la trans­for­ma­tion dig­i­tale des entre­pris­es, des admin­is­tra­tions et des gouvernements. 

Il souhaite accom­pa­g­n­er les dirigeants dans leurs straté­gies afin qu’ils se pro­tè­gent con­tre les cyberattaques. 

À qui vous adressez-vous ?

Palo Alto Net­works est tourné prin­ci­pale­ment vers les grands groupes, les entre­pris­es à taille inter­mé­di­aire et les grandes col­lec­tiv­ités. Nous n’avons pas encore d’offres ciblées pour les util­isa­teurs individuels. 

Quelle est votre vision de la cybersécurité ?

La sécu­rité ne con­siste pas à met­tre un « sparadrap » sur des infra­struc­tures exis­tantes. Elle n’est pas un rajout a pos­te­ri­ori ! Elle doit être conçue dès les fon­da­tions d’une nou­velle trans­for­ma­tion digitale. 

Elle doit prévoir les sur­faces d’attaques et par­ticiper à la con­cep­tion des nou­veaux sys­tèmes d’information.

Cette vision implique-t-elle des changements de mentalité ?

Les direc­tions de sécu­rité sont sou­vent perçues de manière très néga­tives. Elles seraient un ralen­tis­seur économique alors que les direc­tions « métiers » ren­dent pos­si­ble la crois­sance de l’entreprise. Nous pen­sons au con­traire que la sécu­rité peut être totale­ment bénéfique. 

Elle va amélior­er, flu­id­i­fi­er, met­tre de l’huile dans les rouages de la trans­for­ma­tion numérique. Elle doit être inté­grée dans l’ADN des projets ! 

À vous écouter, la sécu­rité serait quelque chose d’extrêmement positif… 

Nous voulons sim­pli­fi­er la sécu­rité. Elle ne doit pas être unique­ment l’apanage d’un spécialiste. 

Elle doit devenir quelque chose de naturel pour tous. Nous voulons faire com­pren­dre aux direc­tions générales que la sécu­rité est un bien nécessaire ! 

Avec un directeur de sécurité, vous parlez le même langage.
Mais comment convaincre les directions générales ?

Palo Alto Net­works est présent dans tous les évène­ments où sont invitées les direc­tions générales. Notre P.-D.G. a ain­si prévu de ren­con­tr­er ses homo­logues des groupes du CAC 40, à Davos, lors du prochain forum économique mondial. 

Dès que nous le pou­vons, nous con­tac­tons les dirigeants par le biais de con­férences, de livres (voir notre encadré), de forums… 

On vous dit très proche des directeurs de système d’informations.
Comment cela se traduit-il ?

Nous tra­vail­lons avec dif­férents Clubs, par exem­ple l’Agora des DSI dont le but est de créer un lieu d’échanges de con­nais­sances. Nous sommes présents auprès d’eux pour con­naître leurs nou­veaux pro­jets, leurs besoins métiers et leur dire de penser à la sécurité ! 

Nous ne sommes jamais là pour être dans une sim­ple rela­tion de four­nisseurs de matériel/clients.

La prise de conscience numérique des dirigeants est-elle facilitée par la réglementation européenne ?

UN GUIDE SUR LA CYBERSÉCURITÉ

Palo Alto Networks a édité un guide de la cybersécurité pour les chefs d’entreprise écrit par des experts français et mondiaux. Par cet ouvrage, le groupe veut aider les dirigeants à prendre les bonnes décisions contre les cybermenaces.

Télécharg­er

Avec l’instauration d’éventuels audits de con­trôle des moyens en cas d’incident, les dirigeants sont de plus en plus sen­si­bil­isés à l’importance de la cybersécurité. 

Leur igno­rance n’est désor­mais plus accept­able le jour où leur entre­prise subit une attaque avec des con­séquences graves sur leur busi­ness, voire sur l’existence même de l’entreprise.

Le dirigeant est respon­s­able et ne peut pas dire qu’il ne savait pas… 

Proposez-vous des formations sur les nouvelles réglementations ?

Palo Alto Net­works n’est pas juriste ! Nous faisons toute­fois un rap­pel à la Loi avant l’arrivée de toute nou­velle tech­nolo­gie dans l’entreprise, nous cher­chons prin­ci­pale­ment à faire de la com­mu­ni­ca­tion, de l’éducation sur les évo­lu­tions réglementaires. 

Cette formation concerne tout le monde dans l’entreprise…

Des entre­pris­es comme les nôtres excel­lent dans les nou­velles tech­nolo­gies ! Il est désor­mais dif­fi­cile de cass­er nos briques de sécurité. 

En revanche le cyber­crim­inel ira chercher une autre faille : l’utilisateur.

Est-ce le rôle de votre groupe d’alerter les collaborateurs ?

Face aux attaques, nous devons faire de l’éducation comme le font d’autres dans la sécu­rité au volant ! Il est essen­tiel de dire aux col­lab­o­ra­teurs com­ment se com­porter devant une sit­u­a­tion à risque. 

Ce rôle de préven­tion appar­tient au directeur de la sécu­rité de chaque groupe. Il doit faire par­ticiper ses col­lab­o­ra­teurs à des exer­ci­ces de mise en sit­u­a­tion comme dans des exer­ci­ces d’incendie ! Il doit leur expli­quer leur respon­s­abil­ité, leur vul­néra­bil­ité en tant qu’individu et employé d’entreprise.

Il faut plutôt féliciter l’individu qui va relever le prob­lème que d’attendre qu’il se passe quelque chose de plus grave ! 

Les directeurs de sécurité sont-ils les seuls lanceurs d’alerte ?

Les médias par­ticipent aus­si à l’éducation de cha­cun d’entre nous en nous infor­mant par des reportages et en dif­fu­sant des séries télévisées sur les risques des cyber­at­taques. Mais pas seulement… 

L’Agence nationale de la sécu­rité des sys­tèmes d’information (ANSSI) con­tribue elle aus­si à prévenir les entre­pris­es partout en France. Elle vient d’ailleurs d’ouvrir des antennes régionales avec une dizaine de cor­re­spon­dants territoriaux. 

Se tenir au courant de la réglementation, installer des logiciels de sécurité, n’est-ce pas une lourde charge pour une société ?

Palo Alto Net­works ne cherche pas à empil­er des logi­ciels qui répon­dent cha­cun à un prob­lème. Notre groupe cherche à pro­pos­er des solu­tions, des ser­vices plus sim­ples tout en gar­dant à l’esprit que la sécu­rité numérique ne doit pas pénalis­er le tra­vail dans l’entreprise.

On com­mence aujourd’hui à évo­quer de plus en plus l’expérience utilisateurs ! 

Écoutez-vous vos utilisateurs pour améliorer la sécurité de chacun ?

Dans les mêmes secteurs d’activités, nous faisons par­ler nos clients entre eux. Nous créons une ému­la­tion. Nous échangeons les problématiques. 

Il est désor­mais préférable de se bat­tre ensem­ble plutôt que de chercher à se défendre tout seul con­tre les attaques qui de toutes les façons ont déjà eu lieu ailleurs. 

Cela suppose beaucoup de réactivité…

Les nou­velles tech­nolo­gies (cloud…) nous per­me­t­tent de créer cet échange, de dis­pos­er d’un meilleur temps de réaction… 

Une attaque à un endroit doit créer la pro­tec­tion de tous à tous les autres endroits. 

D’où l’importance de collaborer…

CHIFFRES & EVÈNEMENTS CLÉS 2016

  • Croissance annuelle (FY16) de 49 % de ses revenus, à $1.4 milliard
  • Croissance annuelle (FY16) de 56 % de sa facturation, à $1.9 milliard
  • Leader du Magic Quadrant Gartner “Firewall des Réseaux d’Entreprise”
  • Ouverture du Cloud Européen d’Analyse des Menaces – Wildfire EU
  • Certification ICSA Labs
  • Près de 50 collaborateurs en France,
  • 800 en Europe, 4 000 dans le Monde. 

Oui, car en face, les attaquants procè­dent de la même manière. Ils échangent les « bonnes » straté­gies dans des forums. Ils sous-trait­ent à d’autres leurs technologies. 

Plutôt que de rester dans son pro­pre écosys­tème et de n’échanger avec per­son­ne, tout le monde doit partager les bonnes pratiques. 

Comment savoir qu’une solution est de qualité avant même sa mise en œuvre ?

Entre deux logi­ciels, on ne sait pas trop ! Heureuse­ment, nous com­mençons à voir appa­raître des labels de sécu­rité. Ces label­li­sa­tions éviteront des pro­duits de très faible qual­ité qui exis­tent sur le marché et qui don­nent une mau­vaise per­cep­tion aux utilisateurs. 

Très vite, des entre­pris­es comme les nôtres seront oblig­ées de faire appel à des lab­o­ra­toires de cer­ti­fi­ca­tion de val­i­da­tion pour véri­fi­er leur con­cep­tion, leurs allégations. 

Elles devront prou­ver ce qu’elles dis­ent pour gag­n­er la con­fi­ance de chacun !

Poster un commentaire