REPRENDRE LE CONTRÔLE D’ACTIVE DIRECTORY : BRAINWAVE GRC LANCE AD BOOSTER CLOUD EDITION

REPRENDRE LE CONTRÔLE D’ACTIVE DIRECTORY : BRAINWAVE GRC LANCE AD BOOSTER CLOUD EDITION

Brainwave GRC, éditeur de logiciel Français spécialisé dans la Gouvernance des Identités et des Accès, lance “AD Booster Cloud edition”, une version SAAS de son logiciel Identity GRC pour aider les entreprises à contrôler le contenu d’Active Directory.

Aujourd’hui, Active Directory est utilisé par une majorité d’entreprises et demeure un élément central des systèmes d’information comme porte d’entrée à un grand ensemble d’applications et de données de l’entreprise. De fait, que l’entreprise fasse face à des enjeux de modernisation, une ouverture vers les services Cloud en encore des changements organisationnels, Active Directory demeure la clé de voûte de toute transformation digitale. Les données sont stockées à la fois dans le cloud et sur site et votre Active Directory en est souvent la porte d’entrée.

Par son importance, Active Directory est une cible privilégiée pour des personnes malveillantes, qu’elle soient internes ou externes à l’entreprise. Une problématique de gestion d’Active Directory crée des failles de sécurité importantes qui peuvent donner lieu à des fuites de données venant de l’interne. Ces risques de sécurité représentent également une porte d’entrée rêvée pour les hackers, notamment si ceux-ci ciblent des comptes à privilèges.

De plus, le modèle d’habilitations d’un AD est complexe et évolue quotidiennement, au rythme de l’utilisation que l’entreprise en a. Il est donc souvent très difficile de garder un niveau de sécurité suffisant en continu sans être outillé par une solution appropriée.

Brainwave GRC lance son offre cloud pour Active Directory afin de fournir aux entreprises une solution clé-en-main d’audit et de sécurisation en continu d’Active Directory. Avec cette solution, vous pouvez visualiser, contextualiser, et analyser en mode Saas les risques de sécurité et les problèmes de qualité au sein de l’ensemble de vos domaines Active Directory ainsi qu’éditer rapports et tableaux de bords.

 

Grâce à cette solution, toute entreprise peut contrôler en continu l’évolution de ses référentiels AD et identifier toute anomalie, de manière préventive et réactive. La solution fournit une visibilité à 360° d’AD :

  • Cartographie des comptes et des groupes
  • Rapprochement des comptes avec leurs propriétaires en croisant les données AD avec les informations RH (personnes et organisations)
  • Identification et documentation des comptes à privilèges
  • Analyse des groupes de sécurité
  • Mise en évidence des problèmes de sécurité liés aux comptes (droits excessifs, dormants, résiduels, dont le mot de passe ne change jamais, …) et aux groupes (groupes quasi publics, groupes cycliques, …)
  • Mise en évidence des changements survenus de date à date
  • Analyse des politiques de mot de passe
  • Identification des comptes disposant de droits d’administration locaux
  • Analyse des privilèges accordés au sein d’Active Directory au travers d’ACLs (qui peut réinitialiser des mots de passe, qui peut modifier des membres de groupes, …)

 

La solution cloud Brainwave GRC pour Active Directory est accessible en souscription, est immédiatement opérationnelle et ne requiert pas de connecter son SI avec Brainwave GRC.

Avec la transformation Digitale, il est devenu indispensable de contrôler finement Active Directory. toute erreur de paramétrage peut en effet avoir des conséquences lourdes en termes de sécurité, un compte resté actif par erreur pouvant par exemple toujours donner accès à des applications Cloud asservies au référentiel AD.

Si les RSSI ont pris depuis longtemps la mesure de ce risque et opèrent des contrôles de sécurité sur ce référentiel, force est de constater que ces contrôles sont laborieux à effectuer et, de fait, se limitent souvent à des analyses en surface par manque de temps ou de moyens.

Avec AD Booster Cloud edition, notre objectif est d’aider les RSSI à améliorer leur efficacité opérationnelle. La solution leur permet en effet de se concentrer sur le pilotage et l’analyse des résultats plutôt que de se battre avec des extractions de données. Le modèle tarifaire, en mode souscription, et l’approche SAAS apportent un retour sur investissement immédiat et sont adaptés à toutes les tailles d’entreprise, y compris les ETI.”

précise Sébastien Faivre, Directeur Général de Brainwave GRC.

Inscrivez vous a la matinale RGPD 26 avril 2017

Matinale GDPR mercredi 26 avril 2017 à Paris

 

ENJEUX, DÉMARCHE DE MISE EN CONFORMITÉ ET RETOURS D’EXPÉRIENCE

 

Cette matinée a pour objectif de nourrir votre réflexion autour de la mise en conformité au RGPD à travers une vision de synthèse des meilleures pratiques.

Le règlement entrera en application le 25 mai 2018 et représente une évolution majeure, tant en termes de protection des données à caractère personnel que de gestion des relations entre l’entreprise et son écosystème. De nombreuses dispositions doivent être mises en œuvre afin de se conformer à ces nouvelles obligations et, ainsi, d’éviter des sanctions financières élevées cumulées à un risque important d’image pour l’entreprise.

Un rappel des éléments clés du règlement permettra d’appréhender les principaux risques et enjeux associés. Nous présenterons l’état des lieux concernant la maturité des entreprises Françaises, ainsi que les meilleures pratiques pour la démarche de mise sous contrôle.

Nous illustrerons ces propos avec le retour d’expérience d’un acteur qui partagera sa stratégie de mise en conformité.

Matinale GDPR mercredi 26 avril 2017 à Paris

8h30

Petit-déjeuner d’accueil


9h00

Introduction

Patrick AMOUZOU – HOCHE | Cyril BORDEAUX – ADVOLIS


9h10

Synthèse de la règlementation : Les risques & enjeux

Patrick AMOUZOU | Maud LAMBERT – HOCHE


9h30

Synthèse du baromètre RGPD 2017 : Quelle est la maturité des entreprises Françaises ?

Jean-Yves PRONIER – BRAINWAVE


09h40

Démarche de mise sous contrôle : Découvrez les meilleures pratiques & les pièges à éviter

Grégoire DE SILVESTRE | Cyril BORDEAUX – ADVOLIS


10h00

Quelles mesures prendre pour garantir un niveau de sécurité adapté au risque

Cyril GOLLAIN – BRAINWAVE


10h20

Conformité au RGPD : la stratégie de Monext

Thierry LE FORBAN – MONEXT


10h40

Table ronde & questions / réponses

Matinale GDPR mercredi 26 avril 2017 à Paris

Date & Lieu

Mercredi 26 avril 2017 à partir de 8h30
Hoche Société d’Avocats
106 rue de la Boétie
75008 PARIS
Plan d’accès ici
INSCRIVEZ VOUS AU FORUM RGPD 2017 PARIS 28 février 2017

INSCRIVEZ VOUS AU FORUM RGPD 2017 PARIS 28 février 2017

 FORUM RGPD 2017 PARIS

Règlement Général sur la Protection des Données

 

De l’interprétation juridique du RGPD à une gouvernance de la sécurité des données

 

C’est sans aucun doute l’évolution législative la plus importante en matière de sécurité et de protection des données depuis le début de l’ère numérique. Destiné initialement à renforcer la sécurité des données à caractère personnel face à la transformation digitale, ce règlement entrera en application le 25 mai 2018.

Il est donc urgent pour les entreprises et les institutions de comprendre les enjeux de cette règlementation, ce qu’elle implique en terme de mise en conformité, et quelles en seront les conséquences techniques, humaines et financières.

Mardi 28 Février 2017
de 9H00 à 12H00

Salle Pleyel 
252 rue du Faubourg Saint-Honoré,
75008 PARIS

 

GLOBAL SECURITY MAG,  BRAINWAVE ET WALLIX

Vous invitent au Forum RGPD, une matinée dédiée au partage d’information, rythmée par des échanges avec des experts du monde de la Cybersécurité et de la Protection des données.

FORUM RGPD 2017 PARIS

PROGRAMME DE LA MATINÉE
Mardi 28 Février 2017

9h00 : Accueil café

9h20 : Accueil et introduction : Les enjeux du RGPD sur les politiques de gouvernance et de sécurité numérique,

par Marc Brami, Rédacteur en chef, Global Security Mag.


 

9h30 : Anticiper les enjeux juridiques liés au RGPD et ajuster la compréhension à la situation de chaque entreprise.

par Me Garance Matthias, Avocat Fondateur – Matthias Avocats.


9H50 : Bonnes pratiques et conseils pour définir votre feuille de route vers la mise en conformité,

par Raphaël Brun, Manager et expert RGPD Wavestone
& Patrick Marache, Senior Manager Wavestone.


 

10H20 : Compréhension des enjeux et traductions technologiques, des solutions pour accompagner la démarche de mise en conformité,

par Sébastien Faivre, Directeur Général BRAINWAVE


 

10h40 : Focus sur l’obligation de traçabilité des utilisateurs : quelle stratégie adopter?

par Xavier Lefaucheux, WALLIX.

 


11h00 : Table Ronde – Comment s’organisent les entreprises ? Débat et échange autour des enjeux et des premières mesures,

Avec
M. Henri Guiheux, RSSI, SCOR,
Mme Mylène Girard, Sécurité Groupe Crédit Agricole
M. Cédric Duvaux, Credit Agricole Titres.
et la participation d’un CIL, d’un grand groupe Français


 

12h00 : Fin de la matinée – Cocktail.


RGPD : Investissez, il en restera toujours quelque chose

RGPD : Investissez, il en restera toujours quelque chose

RGPD : Investissez, il en restera toujours quelque chose !

 

 

La chaîne de l’Himalaya, avec ses sommets culminants à plus de 8.000 mètres, ne pouvait être vaincue que par des hommes d’exception. La première équipe à atteindre le sommet de l’Everest, à 8.848 mètres, en mai 1953 fut Néo Zélandaise. Avec les moyens de l’époque, une telle expédition nécessita une grande préparation, des moyens énormes et surtout une volonté de fer.

Il vous faudra à peu près les mêmes moyens, la même ténacité et le même esprit d’équipe pour vaincre un nouveau sommet. Pas le K2 mais celui du RGPD (ou GDPR si vous voulez impressionner pendant les dîners en ville) enfin le nouveau règlement général sur la protection des données imposé par l’Union Européenne. Le RGPD, devient le nouveau standard législatif européen pour assurer la protection des données à caractère personnel.

Face à l’explosion des risques de cybercriminalité et le besoin de renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles, un lot de dispositions légales obligent les entreprises à sécuriser leur système d’information et leurs données.

 

Synchronisons nos montres, il nous reste jusqu’au 25 mai 2018 pour nous mettre en conformité !

Toutes les organisations Européennes ou internationales manipulant des données personnelles relatives à des ressortissants de la communauté Européenne devront le respecter d’ici le 25 mai 2018.

C’est là que les choses se compliquent. Un certain nombre d’études fleurissent sur ce thème et sur lesquelles je ne m’appesantirai pas parce que la majorité est un peu “bidonnée” et ces études ne représentent que ce que leurs commanditaires veulent tenter d’imposer, que ce soit en termes de technologies ou de services.

 

Par contre ce qui est important
de retenir tient en quelques mots ;

  • La plupart des entreprises françaises ont une connaissance partielle du RGPD et la quasi totalité est inquiète concernant leurs capacités à se mettre en conformité. (Hmmm…)
  • Une minorité semble imperméable (Oups)
  • Il y a des disparités évidentes entre les différents pays de la communauté européenne. (Ouais comme d’habitude)
  • Mais une grande partie connait les risques financiers inhérents au RGPD. (Bon ca va alors…)
  • Et la quasi totalité s’attend à des changements de leurs actuelles pratiques de sécurité et de gouvernance. (Ouf)

 

 

Ce qui est sur c’est que le montant des amendes, lui fait réfléchir :

  • Les violations feront l’objet d’amendes administratives pouvant s’élever jusqu’à 20 000 000 € ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
  • Les amendes c’est une chose, la réputation de l’entreprise, la confiance des clients, des consommateurs et des actionnaires en est une autre. Mis bout à bout les impacts des failles sont colossaux !
  • Je rappelle qu’une des dispositions du RGPD obligera les entreprises ou organisations à déclarer tout incident de vol ou perte de données dans les 72 heures maximum.

 

Maintenant quoi faire devant cette montagne ? Quelles sont les priorités ?

  1. Travailler avec le juridique interne et/ou externe
  2. Impliquer le COMEX au plus tôt
  3. Traduire le règlement pour identifier les dispositions du RGPD qui s’appliquent à l’entreprise ou à l’organisation et comprendre comment elles l’impactent.
  4. Formaliser des groupes de travail cross-fonctionnels : Juridique, DPO, CIL, DSI, RSSI, Contrôle Interne, et métier.
  5. Outiller la démarche pour savoir où se trouvent les données à caractère personnel. Elles existent partout sous la forme de données structurées, non-structurées, big data et Cloud. Ce que l’on appelle la cartographie ou “Inventory” si vous voulez vraiment impressionner lors des dîners.
  6. Définir une gouvernance adaptée pour rendre les accès à ces applications et données strictement légitimes
  7. Mener des Analyses d’impact relatives à la protection des données.
  8. Appliquer les processus relatifs aux dispositions du règlement (articles 25, 27, 30, 31, 33 et 42) Voir ici pour plus de détails
  9. Ne cliquez pas tout de suite, je n’ai pas encore fini 😉

 

 

Alors pourquoi un titre aussi racoleur : RGPD : Investissez, il en restera toujours quelque chose ?

Tout simplement parce que nul ne sait si:

  • le règlement restera tel qu’il existe aujourd’hui,
  • si il évoluera pour devenir plus facile à articuler,
  • si les autorités ou le régulateur (la CNIL en France par exemple) auront les moyens de contrôler, auditer, et de punir comme c’est prévu
  • si les entreprises auront les moyens et le temps de se mettre en conformité à 100%
  • et bien d’autres sujets …

 

Mais quid du titre de cet article alors ?

Certes j’aurais pu lui trouver un autre titre comme : Au secours, on va tous mourrir ! Mais je l’ai choisi pour une seule raison. En effet quoi que devienne le règlement, tous les efforts que feront les entreprises iront dans le bon sens pour apprendre à protéger leurs données “sensibles”.

Les protéger comme elles auraient dû le faire depuis longtemps et se doter de moyens permettant d’assurer une gouvernance sans faille de ces données. Et à ce moment il n’y aura plus jamais de LuxLeaks, de Mossac Fonsseca, de Orange, de Target et bien d’autres.

Et là c’est parfait parce que nous pouvons vous aider à gravir des sommets et nous intégrer à votre cordée.

 

Je tenais à remercier Sébastien Faivre Directeur Général de Brainwave pour sa proposition de titre alternatif 😉

Autonomie des métiers et cloudification : quid de la gestion des risques ?

Autonomie des métiers et cloudification : quid de la gestion des risques ?

La décentralisation et la cloudification (ou l’ère de l’informatique dans le brouillard)

 

Pourquoi les mainframes IBM nous font-ils invariablement penser à l’époque des dinosaures ? D’ailleurs, qui peut se vanter d’en avoir vu un… Les Anciens disent que c’était une époque où tout était plus simple, plus robuste et plus sécurisé. Peut-être est-ce le côté fossilisé des logiciels et l’aspect rugueux des écrans 80 colonnes qui nous rebutent ? Mais la réponse n’est-elle pas plutôt d’ordre sociologique ou idéologique ?

 

Le salarié d’aujourd’hui : consommateur de services et axé sur ses objectifs business

L’heure est au zapping incessant des services en ligne, des partis politiques ou encore des chaînes télé. Tout va vite aujourd’hui.
Le consommateur est devenu le roi et veut avoir le choix. Il fait jouer la concurrence. Il achète au petit commerçant du coin et dans le même temps il commande sur un site en Chine. Le monde est un grand supermarché.
En entreprise, les salariés revendiquent une certaine autonomie. Ils font preuve d’initiative pour être efficaces. Le business avant tout.
En réalité tous ces personnages n’en font qu’un : le salarié est un consommateur de services, autonome et inventif, qui zappe pour atteindre ses objectifs business.

Mais au fait, quel est le rapport avec les mainframes IBM et les dinosaures ? On y arrive… Prenons ce salarié et dotons-le d’un unique accès mainframe au sein de son entreprise. Que se passe-t-il ?
– il devient fou en apprenant par coeur les noms barbares des transaction 3270. Réponse A
– il décide de devenir un expert origami en attendant la retraite avec, de temps en temps, un dîner le mercredi chez des amis pour montrer ses créations. Réponse B
– il abandonne son métier et part élever des moutons dans le Larzac. Réponse C
– D. La réponse D

 

Le mainframe dans cette histoire n’est que le symbole d’une informatique centralisée, autoritaire, lente et perdue dans les procédures administratives.

Le divorce entre l’informatique à l’ancienne et les métiers

Il y a de grandes chances pour que cette informatique ne soit pas le partenaire idéal de ce salarié.

En effet, demander au Service Informatique de modifier le logiciel pour s’adapter à une nouvelle offre commerciale ou demander la mise en place d’une nouvelle application pour le Marketing est une opération longue et douloureuse. Un projet doit être lancé avec toutes les étapes allant de la rédaction du cahier des charges jusqu’à la recette. Le temps pris par le projet côté métier est un gouffre et au moment de la recette, le besoin a probablement changé s’il n’a pas complètement disparu.

Le divorce est consommé entre les métiers et l’informatique des dinosaures. L’heure est à l’initiative individuelle, à la réactivité business et à l’autonomie des équipes.
Lorsque les métiers ont un besoin, ils tapent dans leur budget pour consommer un service dans le Cloud. Notre service informatique est marginalisé. Les métiers ont secrètement décidé de le contourner. Ils ont enfin gagné leur indépendance ! La décentralisation vers les métiers est en marche. Le dinosaure est à terre…

Mais ne crions pas victoire trop vite…

Et revenons sur notre salarié en noircissant le tableau. Il est dans la sur-consommation, même le gaspillage. Aucune mutualisation des services consommés entre les différentes directions. Ce n’est pas, à proprement parler, un gestionnaire. Il contracte des services et oublie de les dé-commissionner.  Il fait confiance à des sociétés sur Internet dont il ignore même si elles existent vraiment.
Il est imprudent en mettant la future grille de tarif confidentielle sur Internet ou en partageant les dossiers sensibles de son ordinateur portable.

 

De l’informatique centralisé au trop-plein de décentralisation

On parle un peu de sécurité ? Arrrg, c’est la catastrophe totale !!!
Car justement tout est décentralisé. Une multitude de services ont été contractés et personne ne sait combien, ni qui les administre. Ne parlons même pas des SLA ou des problèmes de disponibilité des services.
Une grande partie des actifs de l’entreprise se retrouve dans le GBN (cf. lexique en fin d’article) dont l’opacité et l’insécurité sont les deux mamelles. Quand autonomie rime avec chaos…

Le service informatique étant contourné, il reste un dernier rempart face au problème de fuite de données : le comportement averti des métiers qui ont à coeur la confidentialité et la sécurité des informations qu’ils manipulent. En écrivant cela, j’ai comme un doute sur la solidité du rempart..

 

L’indépendance opérationnelle des métiers doit aller de pair avec une gestion des risques centralisée

Et maintenant la morale de l’histoire !
Ce que l’on a oublié un peu vite, c’est que le dinosaure avait deux fonctions:
– une fonction opérationnelle dont on ne va pas revenir sur les défauts
– une fonction de sécurité

La proclamation de l’indépendance opérationnelle des métiers est une bonne chose. Nous n’allons pas revenir dessus. Mais la fonction de sécurité est et reste un droit régalien de l’entreprise. Les métiers ne peuvent s’en affranchir. Qu’on le veuille ou non, la sécurité doit être centralisée car les métiers n’ont ni l’envie ni la compétence de traiter la problématique de sécurité.

La gestion des risques a besoin de cette centralisation pour établir une cartographie des ressources ou des services qui participent aux processus vitaux de l’entreprise. Pour comprendre l’impact d’une fuite de données, encore faut-il savoir que des données étaient présentes dans le cloud (et quel type de données). Il faut une vision à 360 degrés des ressources, des droits positionnés sur ces ressources et des utilisateurs internes ou externes qui y accèdent.

 

Un outil capable de collecter l’ensemble de ces informations et de les remettre dans un dynamique de contrôle continu s’impose.

 

 

Mini-lexique
GBN: Grand Brouillard Nuagique. Sorte de masse vivante qui absorbe vos données sans jamais les restituer.