FOND BANDEAU ETOILE OVH_FOND VAGUE 1 cop

Le sujet du moment est de pouvoir dormir tranquille, de ne pas craindre d’être la dernière boîte faisant la Une des journaux... L’ANSSI a répertorié une augmentation de 250% des signalements pour attaque, sans compter ce que l’on laisse sous le tapis pour ne pas subir une mauvaise publicité. 

La question n’est plus de savoir si on se fera attaquer, mais quand nous ferons-nous attaquer ? 

On accompagne nos clients dans leur enjeux d’anticipation, de détection et de plan de relance. L’objectif n’étant pas juste de détecter mais aussi de pouvoir réagir et de bloquer les attaques. 

 

L’autre grand sujet est l’accompagnement dans la transformation numérique. Beaucoup d’entreprises courent encore après le train du Cloud.

Quels acteurs sont le plus touchés par ces attaques ?

Tous les secteurs sont impactés, de la petite mairie aux grosses entreprises du CAC 40.

SITE_PARTIE 2.png
Logo advens.png

Et si nous parlions sécurité et Cloud chez Advens "Interview de Benjamin Leroux - Directeur Marketing & RSSI chez Advens" 

Pouvez-vous nous présenter l’activité de votre société  ?

Advens est une société de service en cybersécurité. Nous faisons du conseil, de la sensibilisation, du déploiement, de la résolution d’incidents et bien sûr des audits.
Premier pure-player Français en cybersécurité, nous sommes indépendants en termes de capitaux depuis nos débuts en 2000.

Aujourd’hui l'entreprise compte 250 personnes, basées à Lille, Paris, Bordeaux, Toulouse, Lyon et en Belgique.


Notre crédo : la sécurité est quelque chose de positif, à prendre absolument en compte pour une meilleure transformation numérique. 

Notre leitmotiv : Une boite doit atteindre des objectifs économiques mais elle a aussi des responsabilités et c’est normal de reverser. 

Ainsi, on essaye de s’impliquer le plus possible comme à travers notre sponsoring du bateau Advens au Vendée globe dont les bénéfices sont offerts à LinkedOut, une association de réinsertion professionnelle. 

Enfin, nous avons une approche as-a-service, qui s’appuie notamment sur un gros tissu de partenaires.

Quelles sont vos missions ?

Notre mission est d’accompagner nos clients sur l’optimisation de leur sécurité dans le Cloud (IaaS, PaaS, hardening, CSPM, supervision, etc.). 

Nous opérons notamment via des centres de services, et nous proposons des EDR managés. 

Nous sommes capables d'accompagner des clients sur tous les secteurs d’activité (hôpitaux, UGAP, retail, industrie, etc.), même si nous sommes plutôt positionnés sur le middle-market. 

Mon rôle au sein de Advens est celui de directeur marketing interne et externe.

Quelles sont les problématiques principales que vous rencontrez au quotidien chez vos clients ?

SITE_FOND VAGUE 1.png

Donc les RSSI sont de plus en plus puissants ?

Oui! Nous avons fait une étude sur ça avec le CESIN, qui tend à le démontrer. 

On commence à voir des DSSI qui sont des cadres dirigeants, qui se rapprochent de plus en plus du COMEX, voire qui en font partie. 

On voit aussi de plus en plus de directeurs cybersécurité qui sont dans la boucle des plus grands projets et qui ont un droit de véto. 

Cela reste une minorité mais ça va dans le bon sens !

En ce qui concerne les Security Operation Center, quelles types de maturité trouvons-nous sur le marché ?

Encore une fois, il y a de tout mais globalement le marché est encore très en retard. 

Nos clients vont de plus en plus vers de l’EDR managé, car nous avons fait le pari de pouvoir rendre ce type de solution accessible à l’utilisation et en termes de coûts. 

Globalement les budgets sécurité continuent d’augmenter, ce qui tend à faire apparaître de plus en plus d’équipes et de solutions spécialisées au sein des DSI. 

- (Le débat reprend sur la posture des RSSI, notamment ceux rattachés directement à un CTO)-
C’est un faux débat pour moi! L’important est d’avoir du pouvoir décisionnel et j’ai l’impression que les RSSI ont une approche beaucoup plus pragmatique désormais.

Accompagnez-vous vos clients dans l’obtention de la qualification SecNumCloud et que pensez-vous de celle-ci ?

Oui bien sûr! Selon moi, c’est un peu trop théorique, ça ne présume pas de la technologie. Cela n’aide pas vraiment le client pour faire la configuration de ses infrastructures cloud. 

On a une activité compliance qui se développe bien, où on se positionne en coach. 

On peut avoir une approche très complémentaire sur ce sujet avec WeScale.

SITE_PARTIE 2.png

Quel rôle pourrait jouer une société de service Cloud comme WeScale sur ces sujets ?

On atteint nos limites quand notre client nous demande de l’aider sur du renforcement Docker/Kubernetes par exemple. 

Pourtant pas récente, la mouvance DevOps reste un caillou dans la chaussure pour nos clients RSSI. 

Une société comme WeScale peut apporter une meilleure compréhension des enjeux et des nouvelles technologies, ainsi qu’une meilleure gestion des ressources.

 

Cadrage, organisation du devsecops, mise en place de bonnes pratiques, évangélisation, formation, security champion (expert sécu au sein des équipes), culture et gouvernance, sont autant de pans sur lesquels une société comme la vôtre pourrait avoir un impact positif auprès d’un RSSI. 

Enfin, on peut aborder les sujets de résilience, de robustesse, de conformité, et de haute-disponibilité, qui sont plus des expertises cloud que cybersécurité. Bien souvent, on sait ce qu’il se passe si l’infrastructure fait défaut, mais on ne sait pas quelles sont les réponses opérationnelles à proprement parler.

Comment les RSSI tente d’adresser le besoin de modernisation cloud native et notamment le changement de posture que cela incombe ?

C’est une bonne question! Déjà, pour beaucoup, nos clients n’ont pas de RSSI. Évidemment, on essaye toujours de discuter avec des personnes dont le métier est la cybersécurité mais, par exemple, dans le monde industriel, on assiste tout juste aux prémices d’une prise de conscience de l’importance de la sécurité informatique. Pourtant si une usine s’arrête c’est terrible! Sur ce secteur en particulier, on repart sur les fondamentaux. 

 

Souvent la sécurité est vue comme un besoin à traiter en filigrane. Mais il n’y a plus la même appétence au risque et on remarque que les RSSI prennent plus de poids dans les DSI.
Au final, cette approche Cloud Native a tendance à servir la posture du responsable sécurité et à plus l’intégrer dans le processus de modernisation.

Avez-vous des clients qui demandent du “Zéro Trust” ?

Oui, ça a fait pas mal de buzz! Mais ma question est : est-ce que tout le monde a compris ce que c’était ?
Parmi les entreprises les plus matures, il y a eu de vraies avancées. Auchan, par exemple, s’approche le plus possible de ce qu’est le Zéro Trust.
Mais on trouve aussi des entreprises qui ont mis des technologies sans trop de valeur ajoutée.. Pourtant, faire confiance à personne, c’est l’ADN de base de la sécurité! Ce n’est pas nouveau!

Honnêtement, Chez Advens, on ne le pousse pas comme un sujet vital, et en soit, la partie network n’est pas forcément notre cœur de métier. On s’abstient un peu.

Que pensez-vous du mouvement “hacker éthique” ?

C’est dans l’air du temps! On ne peut plus faire des tests d’intrusion à chaque MEP car on met en production plusieurs fois par jour désormais.

Il est vrai que c’est intéressant de faire appel au crowdsourcing pour avoir des personnes extérieures, aux approches différentes et diverses, qui vont tester la perméabilité d’une infrastructure. 

C’est la vague des “Bug Bounty” mais attention à ne pas faire n’importe quoi, car on a vu des primes se gagner facilement et coûter cher à nos clients. De plus ces derniers se retrouvaient noyés de vulnérabilités identifiées mais n’avaient pas forcément les compétences pour les résoudre. 

Trouver les failles n’est pas évident mais souvent le plus dur est de boucher les trous! 

C’est pourquoi Advens propose une offre composée de tests d'intrusions et des remédiations qui vont avec.  

 

Mais globalement ça témoigne d’un intérêt, donc on est content!

Quel tendance observez-vous quant à l’internalisation des ressources spécialisées ?

omme dans beaucoup de secteur de l’IT, il est très difficile de recruter. On observe une tendance forte à l’externalisation ou à l’hybridation (mixte entre internes et externes) des équipes de sécurité. 

Au-delà de la pénurie de ressources, il y a souvent un désintéressement de ces dernières une fois la phase de projet terminée. Les compétences étant rares, elles sont également très chères et peu d'entre elles sont enclines à rester longtemps dans un environnement qui demande de réaliser régulièrement des astreintes 24/7.