# JE SUIS RSSI
Responsable de la définition et de la mise en œuvre de la politique de sécurité d’une entreprise ou d’un organisme public, le Responsable de la Sécurité des Systèmes d’Informations, désormais parfois dénommé Responsable de la sécurité de l’Information, doit avoir un rôle et un mandat bien défini et rend des comptes au COMEX, à la DSI, à la Direction des risques ou même parfois à la DRH. Cependant, il doit désormais faire face à de nouveaux challenges :
- Une charge exponentielle d’informations à prendre en compte au sein d’un système d’information de plus en plus étendu et où les failles sont difficiles à déceler.
- Une intensification des attaques et la nécessité réglementaire (française comme européenne) de déclarer ces dernières à l’instance compétente, sans parler des sanctions en cas de non-compliance.
- Le développement des menaces et des leurs cibles et l’impact des attaques protée sur un système d’information sur la vie des utilisateurs : que faire lorsqu’un ransomware prendra en otage un réseau critique d’objets connectés?
- La difficulté de rendre concrètement des comptes au COMEX sur l’efficacité des mesures de sécurité prises en l’absence d’outils ou d’indicateurs concrets lorsque la surabondance de rapports de sécurité, de graphiques et de courbes positives ne donne pas, inversement, un faux sentiment de sécurité.
Tout l’enjeu est donc là, être en mesure de se maintenir en compliance et en équilibre entre coût, agilité, performance et sécurité. Le groupement HEXATRUST s’est fixé comme objectif de réunir les meilleurs éditeurs de solutions de cybersécurité et de confiance numérique « made in France » dans un portfolio de solutions complémentaires, autour d’un label de confiance et ce, afin d’accompagner le RSSI dans les challenges qu’il devra surmonter en 2017.
Sécurisation de la Messagerie
Selon le FBI, les entreprises dans le monde ont perdu plus d’1 milliard de dollars US entre octobre 2013 et juin 2015 du fait de fraudes à la messagerie professionnelle. La messagerie constitue, aujourd’hui, l’une des fonctions les plus visibles, les plus interconnectées et les plus déployées de l’IT, par conséquent, l’une des plus sensibles. Elle est le pilier de la collaboration en entreprise : le facteur humain y est donc critique. Les attaques sont, elles, très diversifiées. Elles peuvent être classiques, instantanées ou de longue haleine, et viser tout type de flux (mobile, voix, data, etc.) comme tous les moyens existants d’interaction et de stockage.
Prévention de la Fuite de Données
Une intrusion coûte en moyenne 3,8 millions de dollars (source : Ponemon, 2015), mais les attaques sur Sony ou Target montrent que ce montant peut être encore bien plus élevé. La fuite de données constitue donc la plus importante menace actuelle. Elle menace l’ensemble du système d’information, mais aussi les activités métier de l’entreprise. Elle dépend aussi fortement de l’impact des actions humaines. L’information étant la matière première de l’entreprise, l’intégrité des données concerne l’ensemble du système d’information et de ses utilisateurs. Elle est donc de plus en plus assujettie à des obligations réglementaires.
Gestion des Identités et des Accès
La gestion des identités et des accès est une brique sécuritaire cruciale dans des écosystèmes que la révolution digitale rend de plus en plus collaboratifs et ouverts, mais aussi composites et complexes, donc vulnérables. Face aux nouveaux besoins de gouvernance que connaissent les entreprises, HEXATRUST propose une approche complète et novatrice de la gestion des identités et des accès.
Chiffrement & Confidentialité
Dans la plupart des secteurs (banque, défense, services publiques, e-commerce, etc.), les informations constituent un capital crucial pour les métiers, qu’il s’agisse d’informations client, d’informations industrielles ou encore d’informations financières. La confidentialité de ces informations est, par conséquent, critique pour la pérennité des organisations, et de surcroit souvent exigée par les réglementations. Dans un contexte d’augmentation des menaces et d’ouverture croissante des systèmes d’information, il est indispensable de garantir qu’une information volée ou perdue demeure inintelligible pour toute personne qui ne doit pas y avoir accès.
Protection des Flux Mobiles & Web
Les flux entre les différents acteurs de l’économie digitale sont en croissance exponentielle, leur sécurisation est par conséquent devenue cruciale. HEXATRUST propose des technologies qui surveillent et sécurisent ces échanges de flux mobiles et web. Les solutions d’HEXATRUST, basées sur l’analyse comportementale, apportent une approche novatrice et complète de la protection de ces flux.
Gouvernance, Traçabilité & Audit
Les entreprises sont de plus en plus étendues, ouvertes, composites, et par conséquent de plus en plus difficiles à sécuriser. Dans ce cadre complexe, la gouvernance de la cyber sécurité est plus que jamais nécessaire pour en assurer l’efficacité. De plus, avec le durcissement des régulations, les entreprises et administrations ont des besoins accrus de traçabilité et d’audit de leur Cyber Sécurité pour respecter leurs engagements réglementaires.
Sécurisation des Transactions
L’essence du digital réside dans les échanges, ou transactions, entre les différents membres d’un écosystème. Il ouvre les écosystèmes et facilite les transactions en faisant fi des distances, des horaires et des frontières. Les transactions sont donc consubstantielles à la transformation digitale, et leur sécurisation est la base de la sécurisation du digital. Cela est d’autant plus important pour les entreprises que leur transformation digitale ne pourra se réaliser sans avoir obtenu la confiance digitale de leurs métiers, de leurs fournisseurs et de leurs clients. De nombreux exemples prouvent, en effet, qu’une perte de confiance dans la capacité d’une entreprise ou d’une administration à sécuriser ses transactions peut compromettre l’ensemble de sa stratégie digitale.
Sécurisation des Systèmes Industriels
Au cœur de notre appareil productif, les systèmes industriels, les opérateurs d’importance vitale (OIV) et les grandes infrastructures publiques garantissent le bon fonctionnement de notre économie. Pourtant, ils ont longtemps été le parent pauvre de la politique de Cyber Sécurité des entreprises et des Etats, du fait de leurs caractéristiques et contraintes spécifiques, mais aussi de leur position relativement à l’écart du reste de l’informatique. Or la digitalisation, et notamment l’IIoT, a pour effet d’intensifier l’interconnexion des entreprises industrielles avec leurs fournisseurs, partenaires et clients, augmentant la fréquence des risques et l’impact des attaques ciblant ces systèmes
Protection de la Messagerie
Tout RSSI peut disposer d’une vue d’ensemble des risques, précise et mise à jour en continu, grâce à la solution Brainwave. La plateforme, donne un accès à toutes les informations délivrées par les données collectées de toutes les sources et réconciliées afin de fournir une visibilité conceptualisée, notamment avec les données RH. Le manque de vision d’ensemble des acteurs de la sécurité des systèmes d’information induit forcément un manque de visibilité sur les risques identifiés pour l’organisation et donc le niveau sécurité de l’organisation. Dans l’application de la politique de sécurité et les contrôles dont les RSSI ont la charge, c’est un handicap opérationnel quotidien, et un risque en lui-même. Fort de cette vision d’ensemble grâce à la solution Brainwave, vous disposez d’une vision précise des risques identifiés et de leur intensité, en rapport à l’application d’une politique de sécurité, et ce en continu.
En tant que RSSI, j’utilise les solutions de Prim’X implémentant un plugin MsOutlook pour le chiffrement de la messagerie de bout en bout et des conteneurs multiplateformes pour le chiffrement des pièces jointes échangées et archivées.
Avec sa solution IKare, ITrust est en mesure d’accompagner les RSSI et DSI dans la gestion des vulnérabilités de leur SI
En tant que RSSI, je comprends que 65% du Cyber espionnage et 92% de la cybercriminalité utilisent l’email dans leurs attaques. Avec Vade Secure, je maîtrise la sécurité de mes emails en bloquant tous les malwares essayant d’entrer par ce vecteur et en protégeant les collaborateurs de l’entreprise contre les campagnes de phishing et de spear phishing.
En tant que RSSI , j’utilise les solutions de DenyAll pour analyser les risques de vulnérabilités de mes applications web et celle de mes infrastructures serveurs, PC et wifi
Grace à EGERIE RiskManager, j’assure le pilotage centralisé et collaboratif des actions de Cybersécurité proportionnées aux risques en impliquant tous les acteurs clés de l’entreprise. Je valide les tableaux de bord et j’assure un reporting précis et accessible à ma direction.
Le marketing et la DSI ont créé une nouveau portail web exposant des données sensibles et financières pour les clients de l’entreprise qui s’authentifient via leur mobile pour accéder à ces services.
As a CISO, I know that mailboxes of my Company COMEX remain confidential and if an illegitimate access occurs (thief of password or abnormal use of IT privileged account) on one of those mailboxes, my SOC and me are immediately alerted.
Prévention de la Fuite de Données
En tant que RSSI, je dois désormais intégrer dans ma politique de sécurité, la flotte de terminaux mobile utilisée par les salariés. Ils y détiennent de plus en plus d’informations sensibles et qui plus est, ils accèdent désormais au SI via ces terminaux. Avec la solution de Pradeo, je peux contrôler l’ensemble des Apps présentes sur la parc de mobiles et bloquer les Apps non conformes aux règles de la politique de sécurité. Ma console d’administration, me permet de superviser facilement la sécurité des Apps.
As a CISO, I use MediaCentric to detect leaks of our credit card information, our fidelity card owners, strategical documents…
As a CISO, I use CDC Arkhineo for the legal binding electronic archiving of documents (preservation of documents and their probative value).
En tant que RSSI, je comprends que 65% du Cyber espionnage et 92% de la cybercriminalité utilisent l’email dans leurs attaques. Avec Vade Secure, je me prémunis contre la fuite de données en bloquant tous les malwares essayant d’entrer par l’email et en protégeant les collaborateurs de l’entreprise contre les campagnes de phishing et de spear phishing.
En tant que RSSI , j’utilise les solutions de DenyAll pour analyser les risques de vulnérabilités de mes applications web et celle de mes infrastructures serveurs, PC et wifi
As CISO, I use Wallix AdminBastion in order to protect my privileged accounts and so to secure the critical data of my company.
En tant que RSSI, avec Olfeo, je réduis la menace liée aux attaques provenant des accès web, je régule le trafic internet de l’entreprise pour éviter les usages inappropriés, je bénéficie d’un filtrage internet de meilleure qualité grâce à leur approche européenne et leur meilleure reconnaissance des contenus.
Avec sa solution IKare, ITrust est en mesure d’accompagner les RSSI et DSI dans la gestion des vulnérabilités de leur SI
Gestion des Identités et des Accès
Tout RSSI peut disposer d’une vue d’ensemble des risques, précise et mise à jour en continu, grâce à la solution Brainwave. La plateforme, donne un accès à toutes les informations délivrées par les données collectées de toutes les sources et réconciliées afin de fournir une visibilité conceptualisée, notamment avec les données RH. Le manque de vision d’ensemble des acteurs de la sécurité des systèmes d’information induit forcément un manque de visibilité sur les risques identifiés pour l’organisation et donc le niveau sécurité de l’organisation. Dans l’application de la politique de sécurité et les contrôles dont les RSSI ont la charge, c’est un handicap opérationnel quotidien, et un risque en lui-même. Fort de cette vision d’ensemble grâce à la solution Brainwave, vous disposez d’une vision précise des risques identifiés et de leur intensité, en rapport à l’application d’une politique de sécurité, et ce en continu.
En tant que RSSI, j’utilise la solution de gestion des accès Sign&go d’Ilex International pour renforcer l’authentification sur les postes de travail et sur les applications de mon système d’information, pour contrôler les accès à ces applications, et homogénéiser les politiques de sécurité globales au SI. Je peux ainsi renforcer les stratégies de mots de passe sur les applications, supprimer les effets « post-it », et mettre en place des mécanismes de délégation de comptes. Je suis également en mesure de tracer les accès aux applications (authentifications / autorisations) quels qu’ils soient.
Certains systèmes d’information se composent de plusieurs applications métiers et de techno hétérogènes.Dans ce contexte, il est très compliqué d’appliquer et propager correctement les règles de sécurité à l’intérieur des applications (qui peut faire quoi) ou de les contrôler en temps réel (qui a fait quoi) : chaque application se comporte comme un silo indépendant, géré par une équipe distincte. Chaque nouvelle règle de sécurité n’est pas implémentée partout au même moment. C’est même parfois impossible pour certaines applications: les connaissances métiers disponibles étant insuffisantes pour modifier correctement le code métier et le code de sécurité concerné. Par ailleurs, la sécurité dépend alors des équipes de développement, bien que cela ne soit pas leur spécialité: les stratégies d’implémentation divergent d’un projet à l’autre, et la connaissance limitée des attaques possibles et des techniques pour s’en prémunir donne souvent lieu à des failles de sécurité…
Visual Guard offre un système (1) indépendant des applications et des développeurs, (2) transversal, pour propager en temps réel les nouvelles règles de sécurité et donner plus d’agilité aux initiatives business de l’entreprise (3) hautement sécurisé pour protéger les applications des attaques visant à contourner le contrôle d’accès.
En tant que RSSI, avec les produits Netheos, j’ai pu facilement intégrer une solution en mode Saas à mon SI.
As a CISO, I use Weneo USB tokens by NEOWAVE to access my privileged system accounts (PKI / smart card based security).
As CISO, I use Wallix AdminBastion in order to protect my privileged accounts and so to secure the critical data of my company.
Les dirigeants souhaitent simplifier leur connexion à l’entreprise depuis leur terminal mobile et utilisent inWebo pour s’authentifier et accéder à leur réseau d’entreprise.
En tant que RSSI, IDnomic me permet de rester concentré sur mon métier. Le déploiement de leur PKI, technologie mature et standardisée, s’adapte facilement à la taille de mon organisation et me permet de proposer une sécurité à l’état de l’art tout en améliorant l’efficacité opérationnelle.
Chiffrement & Confidentialité
As a CISO, in a regulated environment requiring defense in depth, I ensure a maximum security for my sensitive network interconnections with CrossinG.
Grace à EGERIE RiskManager, j’assure le pilotage centralisé et collaboratif des actions de Cybersécurité proportionnées aux risques en impliquant tous les acteurs clés de l’entreprise. Je valide les tableaux de bord et j’assure un reporting précis et accessible à ma direction.
As a CISO, I use Weneo USB tokens by NEOWAVE to access my privileged system accounts (PKI / smart card based security).
En tant que RSSI, j’implémente les solutions de chiffrement de Prim’X pour lutter efficacement contre les accès non autorisés aux informations sensibles locales ou distantes, stockées ou échangées.Je suis ainsi en mesure de mettre en place un cloisonnement cryptographique des données entre utilisateurs et d’interdir aussi les accès non-autorisés aux données par des tiers.
RSSI d’un Ministère, j’ai sécurisé les connexions DR de notre Système d’Information avec le Client VPN TheGreenBow Certifié et Qualifié niveau standard. Avec l’assistance dédiée de TheGreenBow, nous avons pu déployer rapidement le Client VPN, ce qui nous a permis d’être conforme aux recommandations de sécurité en un temps record.
Les dirigeants souhaitent simplifier leur connexion à l’entreprise depuis leur terminal mobile et utilisent inWebo pour s’authentifier et accéder à leur réseau d’entreprise.
En tant que RSSI, je considère que la PKI IDnomic permet de protéger l’intégrité et la confidentialité des informations grâce notamment à la mise en œuvre d’un chiffrement et d’une authentification forte.
Protection des Flux Mobiles & Web
En tant que RSSI, avec Olfeo, je réduis la menace liée aux attaques provenant des accès web, je régule le trafic internet de l’entreprise pour éviter les usages inappropriés, je bénéficie d’un filtrage internet de meilleure qualité grâce à leur approche européenne et leur meilleure reconnaissance des contenus.
Avec sa solution IKare, ITrust est en mesure d’accompagner les RSSI et DSI dans la gestion des vulnérabilités de leur SI
En tant que RSSI, je dois désormais intégrer dans ma politique de sécurité, la flotte de terminaux mobile utilisée par les salariés. Ils y détiennent de plus en plus d’informations sensibles et qui plus est, ils accèdent désormais au SI via ces terminaux. Avec la solution de Pradeo, je peux contrôler l’ensemble des Apps présentes sur la parc de mobiles et bloquer les Apps non conformes aux règles de la politique de sécurité. Ma console d’administration, me permet de superviser facilement la sécurité des Apps.
En tant que RSSI , j’utilise les solutions de DenyAll pour analyser les risques de vulnérabilités de mes applications web et celle de mes infrastructures serveurs, PC et wifi
Grace à EGERIE RiskManager, j’assure le pilotage centralisé et collaboratif des actions de Cybersécurité proportionnées aux risques en impliquant tous les acteurs clés de l’entreprise. Je valide les tableaux de bord et j’assure un reporting précis et accessible à ma direction.
Les dirigeants souhaitent simplifier leur connexion à l’entreprise depuis leur terminal mobile et utilisent inWebo pour s’authentifier et accéder à leur réseau d’entreprise.
Gouvernance, Traçabilité & Audit
Tout RSSI peut disposer d’une vue d’ensemble des risques, précise et mise à jour en continu, grâce à la solution Brainwave. La plateforme, donne un accès à toutes les informations délivrées par les données collectées de toutes les sources et réconciliées afin de fournir une visibilité conceptualisée, notamment avec les données RH. Le manque de vision d’ensemble des acteurs de la sécurité des systèmes d’information induit forcément un manque de visibilité sur les risques identifiés pour l’organisation et donc le niveau sécurité de l’organisation. Dans l’application de la politique de sécurité et les contrôles dont les RSSI ont la charge, c’est un handicap opérationnel quotidien, et un risque en lui-même. Fort de cette vision d’ensemble grâce à la solution Brainwave, vous disposez d’une vision précise des risques identifiés et de leur intensité, en rapport à l’application d’une politique de sécurité, et ce en continu.
Grâce à TrustInSoft Analyzer, en tant que RSSI, je suis en mesure de garantir mathématiquement la qualité logicielle via des audits de code avancés. Je peux ainsi détecter les failles existantes et prévenir tout type de cyber attaque pouvant causer à mon entreprise la perte de plusieurs millions d’euros.
Grace à EGERIE RiskManager, j’assure le pilotage centralisé et collaboratif des actions de Cybersécurité proportionnées aux risques en impliquant tous les acteurs clés de l’entreprise. Je valide les tableaux de bord et j’assure un reporting précis et accessible à ma direction.
En tant que RSSI, avec les produits Netheos, j’ai pu facilement intégrer une solution en mode Saas à mon SI.
As a CISO, I know that mailboxes of my Company COMEX remain confidential and if an illegitimate access occurs (thief of password or abnormal use of IT privileged account) on one of those mailboxes, my SOC and me are immediately alerted.
As CISO, I use Wallix AdminBastion in order to protect my privileged accounts and so to secure the critical data of my company.
En tant que RSSI, avec Olfeo, je réduis la menace liée aux attaques provenant des accès web, je régule le trafic internet de l’entreprise pour éviter les usages inappropriés, je bénéficie d’un filtrage internet de meilleure qualité grâce à leur approche européenne et leur meilleure reconnaissance des contenus.
As a CISO, using Sentryo, I will be able to understand the risk of my Industrial Control Systems, map all my assets, discover and manage vulnerabilities and comply to ANSSI audits using advanced reports.
Sécurisation des Transactions
En tant que RSSI, je dois désormais intégrer dans ma politique de sécurité, la flotte de terminaux mobile utilisée par les salariés. Ils y détiennent de plus en plus d’informations sensibles et qui plus est, ils accèdent désormais au SI via ces terminaux. Avec la solution de Pradeo, je peux contrôler l’ensemble des Apps présentes sur la parc de mobiles et bloquer les Apps non conformes aux règles de la politique de sécurité. Ma console d’administration, me permet de superviser facilement la sécurité des Apps.
En tant que RSSI d’un grand Groupe, je recommande la solution conçue par OZON auprès des responsables eCommerce / eBusiness pour mise en conformité avec la PSSI Groupe. Ces derniers sont ainsi à même protéger leurs activités eCommerce / eBusiness contre la double menace que représente les hackeurs et les fraudeurs et contre l’ensemble des cyber-attaques exploitant les failles logicielles. Ils peuvent également détecter les transactions frauduleuses, en temps réel, grâce à des technologies avancées big data et machine learning.
Avec sa solution IKare, ITrust est en mesure d’accompagner les RSSI et DSI dans la gestion des vulnérabilités de leur SI
En tant que RSSI, avec les produits Netheos, j’ai pu facilement intégrer une solution en mode Saas à mon SI.
En tant que RSSI , j’utilise les solutions de DenyAll pour analyser les risques de vulnérabilités de mes applications web et celle de mes infrastructures serveurs, PC et wifi
En tant que RSSI, avec Olfeo, je réduis la menace liée aux attaques provenant des accès web, je régule le trafic internet de l’entreprise pour éviter les usages inappropriés, je bénéficie d’un filtrage internet de meilleure qualité grâce à leur approche européenne et leur meilleure reconnaissance des contenus.
Les dirigeants souhaitent simplifier leur connexion à l’entreprise depuis leur terminal mobile et utilisent inWebo pour s’authentifier et accéder à leur réseau d’entreprise.
As a CISO, I use CDC Arkhineo for the legal binding electronic archiving of documents (preservation of documents and their probative value).
Sécurisation des Systèmes Industriels
As a CISO, I monitor the open sources (Web, forums, UGC, Deep and Dark web) with MediaCentric to detect and investigate threats and I ensure a maximum security for my sensitive network interconnections with CrossinG in a regulated environment requiring defense in depth.
En tant que RSSI, j’analyse les risques des systèmes industriels et définis la stratégie opérationnelle de Cybersécurité à mettre en œuvre. Je construis des tableaux de bord et assure un reporting efficace auprès de ma direction.
En tant que RSSI, avec les solutions SECLAB, je suis en mesure d’implémenter des passerelles réseau filtrantes bidirectionnelles dont le cloisonnement réseau est assuré par une carte électronique. Je suis également capable de protéger les ordinateurs et automates de toute attaque USB, des couches électriques aux couches logicielles. Je suis de ce fait convaincu d’apporter une défense en profondeur, implémentée dans l’électronique, à mon système industriel.
As CISO, I use Wallix AdminBastion in order to protect my privileged accounts and so to secure the critical data of my company.
As a CISO, using Sentryo, I will be able to understand the risk of my Industrial Control Systems, map all my assets, discover and manage vulnerabilities and comply to ANSSI audits using advanced reports.