Palo Alto Networks : l’éducation, la collaboration contre les menaces

Votre entreprise existe depuis 10 ans dans le domaine de la cybersécurité,
rappelez-nous la mission essentielle de votre entreprise ?

Dans les années à venir, le groupe Palo Alto Net­works veut cou­vrir la sécu­ri­té de la trans­for­ma­tion digi­tale des entre­prises, des admi­nis­tra­tions et des gouvernements. 

Il sou­haite accom­pa­gner les diri­geants dans leurs stra­té­gies afin qu’ils se pro­tègent contre les cyberattaques. 

À qui vous adressez-vous ?

Palo Alto Net­works est tour­né prin­ci­pa­le­ment vers les grands groupes, les entre­prises à taille inter­mé­diaire et les grandes col­lec­ti­vi­tés. Nous n’avons pas encore d’offres ciblées pour les uti­li­sa­teurs individuels. 

Quelle est votre vision de la cybersécurité ?

La sécu­ri­té ne consiste pas à mettre un « spa­ra­drap » sur des infra­struc­tures exis­tantes. Elle n’est pas un rajout a pos­te­rio­ri ! Elle doit être conçue dès les fon­da­tions d’une nou­velle trans­for­ma­tion digitale. 

Elle doit pré­voir les sur­faces d’attaques et par­ti­ci­per à la concep­tion des nou­veaux sys­tèmes d’information.

Cette vision implique-t-elle des changements de mentalité ?

Les direc­tions de sécu­ri­té sont sou­vent per­çues de manière très néga­tives. Elles seraient un ralen­tis­seur éco­no­mique alors que les direc­tions « métiers » rendent pos­sible la crois­sance de l’entreprise. Nous pen­sons au contraire que la sécu­ri­té peut être tota­le­ment bénéfique. 

Elle va amé­lio­rer, flui­di­fier, mettre de l’huile dans les rouages de la trans­for­ma­tion numé­rique. Elle doit être inté­grée dans l’ADN des projets ! 

À vous écou­ter, la sécu­ri­té serait quelque chose d’extrêmement positif… 

Nous vou­lons sim­pli­fier la sécu­ri­té. Elle ne doit pas être uni­que­ment l’apanage d’un spécialiste. 

Elle doit deve­nir quelque chose de natu­rel pour tous. Nous vou­lons faire com­prendre aux direc­tions géné­rales que la sécu­ri­té est un bien nécessaire ! 

Avec un directeur de sécurité, vous parlez le même langage.
Mais comment convaincre les directions générales ?

Palo Alto Net­works est pré­sent dans tous les évè­ne­ments où sont invi­tées les direc­tions géné­rales. Notre P.-D.G. a ain­si pré­vu de ren­con­trer ses homo­logues des groupes du CAC 40, à Davos, lors du pro­chain forum éco­no­mique mondial. 

Dès que nous le pou­vons, nous contac­tons les diri­geants par le biais de confé­rences, de livres (voir notre enca­dré), de forums… 

On vous dit très proche des directeurs de système d’informations.
Comment cela se traduit-il ?

Nous tra­vaillons avec dif­fé­rents Clubs, par exemple l’Agora des DSI dont le but est de créer un lieu d’échanges de connais­sances. Nous sommes pré­sents auprès d’eux pour connaître leurs nou­veaux pro­jets, leurs besoins métiers et leur dire de pen­ser à la sécurité ! 

Nous ne sommes jamais là pour être dans une simple rela­tion de four­nis­seurs de matériel/clients.

La prise de conscience numérique des dirigeants est-elle facilitée par la réglementation européenne ?

Avec l’instauration d’éventuels audits de contrôle des moyens en cas d’incident, les diri­geants sont de plus en plus sen­si­bi­li­sés à l’importance de la cybersécurité. 

Leur igno­rance n’est désor­mais plus accep­table le jour où leur entre­prise subit une attaque avec des consé­quences graves sur leur busi­ness, voire sur l’existence même de l’entreprise.

Le diri­geant est res­pon­sable et ne peut pas dire qu’il ne savait pas… 

Proposez-vous des formations sur les nouvelles réglementations ?

Palo Alto Net­works n’est pas juriste ! Nous fai­sons tou­te­fois un rap­pel à la Loi avant l’arrivée de toute nou­velle tech­no­lo­gie dans l’entreprise, nous cher­chons prin­ci­pa­le­ment à faire de la com­mu­ni­ca­tion, de l’éducation sur les évo­lu­tions réglementaires. 

Cette formation concerne tout le monde dans l’entreprise…

Des entre­prises comme les nôtres excellent dans les nou­velles tech­no­lo­gies ! Il est désor­mais dif­fi­cile de cas­ser nos briques de sécurité. 

En revanche le cyber­cri­mi­nel ira cher­cher une autre faille : l’utilisateur.

Est-ce le rôle de votre groupe d’alerter les collaborateurs ?

Face aux attaques, nous devons faire de l’éducation comme le font d’autres dans la sécu­ri­té au volant ! Il est essen­tiel de dire aux col­la­bo­ra­teurs com­ment se com­por­ter devant une situa­tion à risque. 

Ce rôle de pré­ven­tion appar­tient au direc­teur de la sécu­ri­té de chaque groupe. Il doit faire par­ti­ci­per ses col­la­bo­ra­teurs à des exer­cices de mise en situa­tion comme dans des exer­cices d’incendie ! Il doit leur expli­quer leur res­pon­sa­bi­li­té, leur vul­né­ra­bi­li­té en tant qu’individu et employé d’entreprise.

Il faut plu­tôt féli­ci­ter l’individu qui va rele­ver le pro­blème que d’attendre qu’il se passe quelque chose de plus grave ! 

Les directeurs de sécurité sont-ils les seuls lanceurs d’alerte ?

Les médias par­ti­cipent aus­si à l’éducation de cha­cun d’entre nous en nous infor­mant par des repor­tages et en dif­fu­sant des séries télé­vi­sées sur les risques des cybe­rat­taques. Mais pas seulement… 

L’Agence natio­nale de la sécu­ri­té des sys­tèmes d’information (ANSSI) contri­bue elle aus­si à pré­ve­nir les entre­prises par­tout en France. Elle vient d’ailleurs d’ouvrir des antennes régio­nales avec une dizaine de cor­res­pon­dants territoriaux. 

Se tenir au courant de la réglementation, installer des logiciels de sécurité, n’est-ce pas une lourde charge pour une société ?

Palo Alto Net­works ne cherche pas à empi­ler des logi­ciels qui répondent cha­cun à un pro­blème. Notre groupe cherche à pro­po­ser des solu­tions, des ser­vices plus simples tout en gar­dant à l’esprit que la sécu­ri­té numé­rique ne doit pas péna­li­ser le tra­vail dans l’entreprise.

On com­mence aujourd’hui à évo­quer de plus en plus l’expérience utilisateurs ! 

Écoutez-vous vos utilisateurs pour améliorer la sécurité de chacun ?

Dans les mêmes sec­teurs d’activités, nous fai­sons par­ler nos clients entre eux. Nous créons une ému­la­tion. Nous échan­geons les problématiques. 

Il est désor­mais pré­fé­rable de se battre ensemble plu­tôt que de cher­cher à se défendre tout seul contre les attaques qui de toutes les façons ont déjà eu lieu ailleurs. 

Cela suppose beaucoup de réactivité…

Les nou­velles tech­no­lo­gies (cloud…) nous per­mettent de créer cet échange, de dis­po­ser d’un meilleur temps de réaction… 

Une attaque à un endroit doit créer la pro­tec­tion de tous à tous les autres endroits. 

D’où l’importance de collaborer…

Oui, car en face, les atta­quants pro­cèdent de la même manière. Ils échangent les « bonnes » stra­té­gies dans des forums. Ils sous-traitent à d’autres leurs technologies. 

Plu­tôt que de res­ter dans son propre éco­sys­tème et de n’échanger avec per­sonne, tout le monde doit par­ta­ger les bonnes pratiques. 

Comment savoir qu’une solution est de qualité avant même sa mise en œuvre ?

Entre deux logi­ciels, on ne sait pas trop ! Heu­reu­se­ment, nous com­men­çons à voir appa­raître des labels de sécu­ri­té. Ces label­li­sa­tions évi­te­ront des pro­duits de très faible qua­li­té qui existent sur le mar­ché et qui donnent une mau­vaise per­cep­tion aux utilisateurs. 

Très vite, des entre­prises comme les nôtres seront obli­gées de faire appel à des labo­ra­toires de cer­ti­fi­ca­tion de vali­da­tion pour véri­fier leur concep­tion, leurs allégations. 

Elles devront prou­ver ce qu’elles disent pour gagner la confiance de chacun !

---

Articles similaires :

Est-il encore temps de créer en France une indus­trie des bio­tech­no­lo­gies ambi­tieuse et de qualité ? Les opé­ra­teurs d’infrastructures au ser­vice de la cou­ver­ture numérique Réha­bi­li­ter les biens anciens d’exception, sau­ve­gar­der le patri­moine français L’ARE : un for­mi­dable outil à la res­cousse des entreprises L’immobilier face à la crise : incer­ti­tudes, pers­pec­tives et évolutions