1. Accueil
  2.  > 
  3. HWS
  4.  > 
  5. Ressources
  6.  > 
  7. Entretiens
  8.  > 
  9. Entretien avec Sebastien, le CISO chez Hosteur

Entretien avec Sebastien, le CISO chez Hosteur

Nov 28, 2018  


CISO


Bonjour Sebastien ! Vous êtes le CISO chez Hosteur, pouvez-vous nous parler un peu de votre parcours ? Comment avez-vous développé votre intérêt pour la technologie et la sécurité web ?

Bonjour ! Mon parcours est atypique car j’ai étudié la menuiserie, puis la production industrielle, avec en fait une réelle passion pour l’informatique. J’ai donc débuté ma carrière dans une usine où j’ai commencé par numériser le parc de machine une par une. Puis en tant que DSI, j’ai engagé une refonte complète du système d’information et de production. J’ai eu très vite la confiance de mon précédent employeur car mes projets ont été menés à terme et ont permis à l’entreprise d’avancer dans la modernisation de celle-ci. Aujourd’hui chez Hosteur je m’occupe en effet des aspects de sécurité.

D’une part, j’ai acquis des compétences dans ce domaine grâce à ma précédente expérience et aux projets d’infrastructures clients complexes. Ces projets demandent une compréhension profonde des infrastructures en place pour perturber le moins possible les systèmes existant tout en renforçant l’intégrité, la disponibilité et la confidentialité des données. D’autre part, nous nous sommes investis dans une démarche de certification ISO27001 que nous avons obtenue récemment, nous permettant de nous remettre en question et d’améliorer l’efficacité de notre SMSI.


Décrivez-nous le poste du CISO ! Quelles sont vos responsabilités quotidiennes ? Qu'est-ce qui vous motive le plus dans votre métier ?

Je n’ai pas de journée type. Au quotidien, je gère avec les collègues les incidents de sécurité et les demandes de mes clients en tant que chef de projet, je fais un peu de veille technologique et réglementaire. Toutes les semaines, j’organise les réunions de suivi technique.

De plus une part importante de mon travail consiste aussi à maintenir et améliorer le SMSI. Par exemple j’organise les audits internes, procédures et politiques de sécurité. Il faut aussi trouver les solutions techniques qui apportent le bon compromis entre sécurité de l’information et de bonnes conditions opérationnelles.


Quelles sont les erreurs les plus communes qui peuvent compromettre la sécurité d'une entreprise et l'exposer aux risques de pertes ou vols de donnés ? Quel conseil donnerez-vous aux clients qui veulent protéger leurs données les plus sensibles ?

Nous voyons souvent des serveurs qui ne sont pas maintenus en bon état : sans mise à jour ou sans firewall. De plus, les mots de passe sont souvent très faibles. Ces trois paramètres doivent représenter 99 % des faiblesses des systèmes corrompus. Très rares sont les attaques par des failles non connues par exemple.

Les bonnes pratiques sont très souvent connues mais aussi très souvent ignorées par facilité. On me rétorque souvent : « Je n’ai jamais eu un seul accident de sécurité en xx années ! ». Je réponds alors que premièrement personne n’en est certain car le système n’est souvent pas contrôlé et deuxièmement on est pratiquement certain que cela arrivera un jour avec des mauvaises pratiques.

Les conseils que je peux donner aux entreprises est de :

- S’équiper d’un véritable firewall et appliquer le principe de l’ouverture minimum

- Séparer les applications et les données sensibles du reste

- Effectuer des sauvegardes régulièrement

- Respecter les bonnes pratiques personnelles


Les cybercriminels cherchent toujours des moyens de plus en plus sophistiqués pour contourner la sécurité. Comment vous tenez-vous informés des nouveautés dans ce domaine si dynamique et innovateur ?

Tout d’abord, je ne pense pas que les cybercriminels cherchent des moyens sophistiqués. C’est l’informatique qui s’est complexifiée et peu de personnes (voir personne) aujourd’hui maîtriseent de bout en bout ces technologies : du silicium et électronique aux IA évolués.

Cela laisse des centaines de milliers de failles «  faciles » à exploiter sur chaque couche technologique. Il suffit de tomber dessus. Comme les erreurs de conception des failles spectres et Meltdown qui sont une catastrophe irrémédiable.

Pour notre veille sur les vulnérabilités, nous avons des alertes en temps réel de CERT-FR, securityfocus.com, ainsi que les alertes de nos fournisseurs.


Selon vous, quels sont les plus grands défis pour la cyber-sécurité aujourd’hui (plus particulièrement dans l’industrie de l’hébergement web) ?

Aujourd’hui concernant la cyber-sécurité dans notre métier nous avons plusieurs défis :

- Gérer la sécurité des stacks réseaux et applicatives de plus en plus nombreuses.

- Proposer des architectures clé en main sécurisées et sensibiliser les clients aux bonnes pratiques.

Laisser un commentaire :

0 Commentaire

Lisez aussi:
10% de réduction sur votre prochaine commande(1)
Inscrivez-vous à notre NEWSLETTER pour recevoir votre code de réduction
(1) Valable uniquement pour toutes nouvelles commandes, hors achat de crédit hosteur et hors renouvellement de prestation. (Commande de produits matériels non inclus)