Sécuriser la chaîne d'approvisionnement : le monde après SolarWinds

10eme anniversaire D’E-Crime et Cybersécurité France 

30 mars 2021 -En-Ligne-

Sécuriser la chaîne d'approvisionnement : le monde après SolarWinds 


Après presque un an de confinement et de déconfinement lié à la COVID, les RSSI peuvent être excusés d’avoir eu des difficultés à maintenir la sécurité dans un environnement de travail fluide et hybride. Rien que la protection des attaques comme les ransomwares reste un travail à plein temps. Demandez au géant français des services informatiques Sopra Steria. Il vient d'annoncer qu'une attaque de ransomware Ryuk lui a coûté entre 40 millions et 50 millions d'euros.

Mais en plus de cela, ils s'efforcent également de protéger la surface d'attaque en constante expansion due à la numérisation accélérée. Les entreprises n'ont d'autre choix que d'adopter les canaux électroniques dans l'ensemble de leurs activités, et leurs clients et fournisseurs font de même. La sécurisation de ces sites Web, applications, canaux de paiement et interfaces client n'est pas anodine et peut nécessiter de repenser les environnements de sécurité et de développement.

L’IoT (IdO) est également en train de devenir un problème majeur pour les RSSI. Considéré plus précisément comme un vaste écosystème de capteurs, l'IoT génère d'énormes volumes de données sensibles à partir d'appareils pour la plupart non adaptes à la sécurité. Le simple suivi des appareils présents sur votre réseau est compliqué. Et si nous retournons au bureau, les bâtiments intelligents dans lesquels nous travaillons sont pleins de failles de sécurité potentielles.

La confidentialité des données liée ou non à l’IoT est essentielle. Alors que de nombreux RSSI pensent encore que la protection de la vie privée dépasse leur mission de sécurité, cette distinction deviendra ingérable. La société française Predicio s'est récemment retrouvée sous les projecteurs pour son rôle dans le monde secret de la collecte et de la vente de données de localisation mobile et d'autres données personnelles, un marché qui soulève de nombreuses questions sur la manière dont les entreprises protègent les données personnelles et comment elles définissent l'utilisation autorisée et non autorisée des données. Schrems II n'est que le début.

En plus de tout ça, les RSSI doivent désormais s'attaquer aux implications de SolarWinds. La sécurité tierce était déjà l'un des défis les plus difficiles auxquels les RSSI étaient confrontés. Mais SolarWinds montre que vos propres fournisseurs de sécurité peuvent être votre maillon le plus faible. Cela montre que les acteurs étatiques peuvent être votre plus grand risque et que les tiers restent le vecteur le plus dangereux pour les cybercriminels commis.

Alors, que peuvent faire les RSSI face aux tiers alors que la digitalisation, l'IoT et le travail à distance retranchent déjà les équipes dans leurs limites ? Comment les équipes de sécurité peuvent-elles s'adapter à l'environnement des menaces, sans exiger un niveau de ressources insoutenable ? Et quelles sont les priorités de sécurité d’aujourd’hui?

  • Coincé dans le Cloud

    • La plupart des entreprises ont été contraintes de s'appuyer sur les applications et le stockage dans le Cloud
    • Donc, ils ont besoin de visibilité et un contrôle illimité; ils doivent compter sur leurs fournisseurs pour vérifier et limiter les accès et services non autorisés ainsi que l'exfiltration des données.
    • Que spécifient les contrats Cloud sur les cas de force majeure?
  • Tirer le meilleur parti des ransomwares

    • Les ransomwares ont parcouru un long chemin depuis les e-mails de phishing et les popups de sites Web
    • Les criminels organisés d'aujourd'hui veulent un meilleur retour sur investissement et pour y parvenir, ils utilisent des attaques ciblées et des méthodes plus sophistiquées.
    • Une meilleure sécurité, est-elle la solution? Ou simplement de meilleures solutions de sauvegarde et de restauration ?
  • Sécuriser vos clients - vos sites Web sont-ils à la hauteur?

    • Le besoin immédiat de passer aux canaux commerciaux en ligne crée une multitude de défis de sécurité et de surveillance.
    • Les sites Web existants sont-ils évolutifs en toute sécurité pour répondre aux demandes supplémentaires des clients ?
    • Comptez-vous trop sur un seul fournisseur ? Et qu'en est-il des récentes modifications apportées à la sécurité des navigateurs tels que Chrome, qui ont un impact sur les sites Web existants?
  • Maintenir un contrôle central

    • À moins qu'ils ne soient déjà configurés pour le télétravail dans une politique de processus organisés et sécurisés, les collaborateurs ne seront pas seulement en dehors des processus de protection des points finaux contrôlés de manière centralisée, ils seront au-delà de tout processus de correction et de mise à jour.
    • De nombreux outils de sécurité dépendent de leur appartenance au réseau local. Comment les équipes de sécurité puissent assurer un accès des basiques à distance : modifier et surveiller les privilèges d'accès (sous la pression de l'entreprise) surveiller les connections, etc.?
    • Les capacités de correction et de réimagerie fonctionneront-elles comme prévu dans un environnement distant ? Quelles mises à jour sont nécessaires pour les playbooks de réponse aux incidents ?
    • Les organisations ont dû «abandonnées» leur environnement de bureaux existant, y compris tous les appareils qui s'y trouvent. Ils doivent continuer à surveiller les appareils inactifs de l'entreprise car ils représentent un problème de sécurité persistant. Peut-on le faire à distance?
  • Le Cloud native et la sécurité intégrée

    • Alors que les entreprises développent des modèles commerciaux numériques, il est essentiel qu'elles intègrent la sécurité dès le départ.
    • Compte tenu du rythme auquel le changement se produit, il s'agit d'une grande demande, même avant la COVID-19, de nombreuses entreprises privilégiaient la vitesse à la sécurité
    • Que peuvent faire les équipes de cybersécurité pour changer cela ? Est-ce une bataille CIO vs CISO ?
  • Y a-t-il une défense contre un attaquant d'État déterminé ?

    • Il y a cinq ans, la plupart des entreprises auraient écarté la possibilité que les acteurs étatiques s'intéressent à leurs entreprises.
    • Même dans ce cas, l'ampleur du vol IP et de l'espionnage était en fait énorme - mais le piratage de SolarWinds révèle la gravité du problème
    • Comment les entreprises peuvent-elles se défendre et que font leurs propres gouvernement pour les aider?
  • Sécurisation des tiers et de la chaîne d'approvisionnement

    • Depuis Target et son fournisseur de systèmes de climatisation, les tiers sont le talon d’Achille du RSSI.
    • Désormais, vos fournisseurs - y compris les fournisseurs de solutions informatiques et de cybersécurité - sont la cible d'acteurs étatiques sophistiqués. Comment sécurisez-vous votre sécurité?
    • Qu'en est-il des autres tiers ? Si les experts en cybersécurité peuvent être compromis, quel espoir y a-t-il pour le reste ?
  • Les RSSI et la cyber-résilience

    • La numérisation forcée et rapide a révélé la nature fragmentée de nombreux programmes de sécurité - mais la fragmentation échoue à l'écosystème commercial
    • Protéger l'entreprise tout en permettant l'innovation et la flexibilité signifie de nouveaux modèles et approches pour la cyber
    • L'automatisation et l'orchestration, sont-elles la réponse ?
  • Maintenance du pare-feu humain

    • Avec des mesures de cybersécurité compromises, les collaborateurs sont en ligne de front contre les cyber menaces, mais le climat actuel est stressant, et ils sont séparés des collègues sur qui ils pourraient s’appuyer concernant des appels et e-mails suspects.
    • Comment les équipes de cybersécurité peuvent-elles apporter leur aide ?
    • Les escrocs profitent de la situation - la sécurité des e-mails doit-elle être renforcée même si elle a un impact sur la continuité des activités ? Y a-t-il d'autres solutions ?

Qui participe ?

Intitulé de Poste

Directeur de mission
RSSI
Ingénieur SSI
PCI Manager
Chargé de mission
RSSI
I.T. Security Architect
Legal Counsel
Ingénieur de Production
Directeur Général
CISO/RSSI
Chargé de mission SSI
Chargé de Mission
InformationSecurity Expert
Directeur informatique
RSSI
CISO
Responsable Sécurité
Responsable Support
RSSI
CISO
RSSI
RSSI
IT Security Architect
CISO - RSSI
Global Securite de Production
Cybersecurity Director
RSSI
IT Manager
Responsable écurité
Information Security Manager
RSSI
Expert Sécurité SI
RSSI
I.T. Security Officer
RSSI
Risk Manager
RSSI
Group Deputy CSO
RSSI
Cellule Anti Abus
Data Privacy & Security
Product manager
Information Security Officer
RSSI Groupe
Vice-Président
CISO
Manager, IT Advisory
RSSI
Industry Relations
RSSI / CISO
I.T. & Security Internal Auditor
Responsable de la gouvernance SSI
Responsable cellule e-fraude
CISO
Operations Manager
Risk Manager
Réseau SSI
RSSI
Group Information Security Officer
Chef de projet sécurité
Responsable du SOC
RSSI
Head Cyber and Tech
IT Security
RSSI
Head of software engineering
Group Information Security Officer
Head of Content Security
Investigateur
RSSI
Senior IT Security Consultant
Chef de Projets SOC
CISO
IT Manager
RSSI, Directeur IT
RSSI
RSSI
RSSI
Ingénieur
Head of Anti-Fraud
Head of Professional I & M
Expert Sécurité
Group IT Security Officer
Access Solution Service Manager
RSSI
Directeur Infogérance
Expert SSI
RSSI
RSSI
IT Project Manager
Responsable ADV & Logistique
Chef de projet Sécurité
Responsable Global Cyber Securite
SI Security Expert
Directeur de l'Innovation
RSSI-CIL
E-Payment Project Manager
RSSI
Directeur Sécurité
Directeur Sécurité du SI
Information Security & Risk
Expert Technique
Cellule e-Fraude
Business Security Officer
IT Auditor
Global CISO
RSSI-O
IT Security Officer
Group CISO
RSSI
Direction des Systèmes d'Information
IT Security Consultant
Chief Security Officer
RSSI
Architecte SI
Inspecteur, auditeur en SI
RSSI
RSSI/CISO & PMO
Directeur Risques et Securité
RSSI
M2M Partnership Manager
Project Manager
IT Security Consultant
Information Security Manager
CSO - Responsable Securité
RSSI
RSSI
CISO - RSSI
CISO
Cybercrime Director
Network & Security Engineer
Senior legal counsel
I.T. Senior Risk Advisor
Directeur
CISO
Directeur des Opérations
RSSI
Ingénieur sécurité réseau
Directeur programme SSI
RSSI
Chief Information Security Officer
Sécurité des Systèmes d'Information
IT Security Expert
Information Security Risk Manager
Security Manager
Police officer
Head of IT Infrastructure
Directeur cyber-défense
Lutte contre la Fraude
Group Security Officer
Product Manager
Sécurité Opérationnelle Internet
Trustee
RSSI
Network & Security Engineer
CSIRT
Equipe RSSI
RSSI
RSSI

Entreprises

SNCF
Camaïeu SA
CNES
Credit Mutuel
SNCF
Council of Europe
Air France-KLM
Crédit Agricole
CDC Arkhineo
SnapElite
Coface
UGAP
Préfecture de Police
BNP Paribas
FlightSafety
Neuflize OBC
Banque Privée 1818
GMX
Ministère de la Justice
BNP Paribas Wealth Management
AREVA
Prosodie
Euromaster
BNP Paribas
Viadeo
BNP Paribas
AXA
Armatis-LC
Euler Hermes
Groupe Beaumanoir
Sodexo
vivarte
Auchan
Groupama Asset Management
BNP Paribas
Éditions Gallimard
Université Paris Dauphine
Fondation de France
GDF SUEZ
Clarins Group
La Poste
GE Capital
LCL
Staples
BNP Paribas
EESTEL
Assistance Publique - Hôpitaux de Paris
Deloitte & Touche
Voyages-SNCF
La Poste
EQIOM
LCH Clearnet
Société Générale
Société Générale
Groupe Galeries Lafayette
La Française des Jeux
Vies De Paris
SNCF
Pari Mutuel Urbain
Air France-KLM
Arval
CNAMTS
Xerox
Swiss Re
STET
Veolia Eau
GMX
Mondial Assistance
Orange
GAPA Investigations Privées
AREVA
Total
CNAMTS
Groupe Pasteur Mutualité
NEVA GROUP
Assistance Publique - Hôpitaux de Paris
Université Paris Dauphine
La Banque Postale
Generali
Enterprise Holdings
Société Générale
Zurich Financial Services
Kering
ArcelorMittal
Sanofi-Aventis
Norauto
La Poste
Pari Mutuel Urbain
SnapElite
Ministère de l'Economie et des Finances
EDF Energy
SFR
Vente-privee.com
BNP Paribas
Société Générale
Monext
Promod
Parkeon
Institut National de l'audiovisuel
L'Oréal
Crédit Foncier
BNP Paribas
La Poste
Société Générale
Automatic Data Processing
Société Générale
Chanel
Boursorama
Delta Lloyd Group
Plastic Omnium
EuropCar
Aéroports de Paris
GDF SUEZ
Coface
Société Générale
Camaïeu SA
Banque de France
Mairie de Paris
Auchan
La Poste
Groupe Samse
SFR
La Poste
STET
Heineken
AXA
Banque de France
Partecis
Adisseo
Les Echos
Police Nationale
Publicis
Crédit Agricole
Chubb (ACE Group)
NEVA GROUP
Radio France
Orange
Humanis
Publicis
EDF Energy
Conseil Général de la Manche
DAHER
MMA
La Française des Jeux
Bombardier
Renault
Police Nationale
Société Générale
Faurecia
Société Générale
EDF Energy
Monext
HSBC
CLUSIF
Recylum
Kering
BNP Paribas
Boursorama
Sodexo
Monext

Industries

Transport/Expédition
La vente au détail
Le gouvernement central
Bancaire
Transport/Expédition
Le gouvernement central
Transport/Expédition
Bancaire
Logiciel
Assurance
La vente au détail
Forces de l'ordre
Bancaire
Aérospatiale/Défense
Bancaire
Bancaire
Logiciel
Le gouvernement central
Bancaire
Voyages
Construction
Bancaire
La vente au détail
Bancaire
Les médias
Bancaire
Assurance
Télécommunications
Bancaire
Fabrication
Hospitalité
Fabrication
La vente au détail
Bancaire
Voyages
Bancaire
Les médias
Éducation
Charité
Pétrole/Carburants
Médicaments
Transport/Expédition
Ingénieur industriel
Bancaire
La vente au détail
Bancaire
Association
Services de santé
Comptabilité/Audit
Hospitalité
Transport/Expédition
Construction
Bancaire
Bancaire
Bancaire
La vente au détail
Casinos/Jeux
Autre industrie
Transport/Expédition
Casinos/Jeux
Transport/Expédition
Automobile
Assurance
Électronique
Assurance
Bancaire
Eau
Logiciel
Assurance
Télécommunications
Conseil
Construction
Pétrole/Carburants
Assurance
Services de santé
Conseil
Services de santé
Éducation
Bancaire
Assurance
Transport/Expédition
Bancaire
Assurance
La vente au détail
Ingénieur industriel
Médicaments
Automobile
Transport/Expédition
Casinos/Jeux
Logiciel
Le gouvernement central
Électricité
La vente au détail
La vente au détail
Bancaire
Bancaire
Bancaire
La vente au détail
Électronique
Les médias
Produits menagers
Bancaire
Bancaire
Transport/Expédition
Bancaire
Logiciel/Matériel
Bancaire
La vente au détail
Bancaire
Assurance
Fabrication
Automobile
Transport/Expédition
Pétrole/Carburants
Assurance
Bancaire
La vente au détail
Bancaire
Gouvernement régional
La vente au détail
Transport/Expédition
Construction
La vente au détail
Transport/Expédition
Bancaire
Nourriture et boissons
Assurance
Bancaire
Bancaire
Nourriture et boissons
Les médias
Le gouvernement central
Les médias
Bancaire
Assurance
Conseil
Les médias
Télécommunications
Bancaire
Les médias
Électricité
Gouvernement régional
Aérospatiale/Défense
Bancaire
Casinos/Jeux
Fabrication
Automobile
Le gouvernement central
Bancaire
Automobile
Bancaire
Électricité
Bancaire
Bancaire
Association
Autre industrie
La vente au détail
Bancaire
Bancaire
Hospitalité
Bancaire