''  Votre partenaire  conseil en transformation numérique ''

 

Notre approche repose sur un accompagnement complet, depuis l'évaluation initiale de vos besoins jusqu'à la mise en œuvre opérationnelle de solutions stratégiques.

 

En mettant l'accent sur l'audit approfondi, l'analyse rigoureuse et la formulation de recommandations pertinentes, nous nous engageons à soutenir votre entreprise dans sa transformation numérique et à assurer sa réussite à long terme.

 

--    Nos principaux domaines d'expertise    --

Stratégie - Gestion Relation Métiers-DSI - Intelligence Collective - Pilotage de projets - Maîtrise d'œuvre

Conduite du Changement - Rédaction de Cahiers des Charges - Cybersécurité - ISO27001:2022

Sourcing de solutions - Solutions alternatives - Opensource

Conformités - Numérique Responsable

 

--    Catalogue de Solutions    --
 

Dans notre démarche d'accompagnement des entreprises dans leurs projets de transformation numérique, chez Innovalead, nous sommes toujours à la recherche de solutions innovantes et vertueuses favorisant le développement de l'économie de proximité et d'un numérique toujours plus responsable. 

 

Si vous êtes à la recherche de solutions créées et propulsées par des sociétés françaises ou européennes, depuis 2020, nous proposons une liste, non exhaustive, de solutions. Consultez notre catalogue !

 

 

--    Nos derniers articles    --
 

 

Security By Design

 

Qu’est-ce que l’approche Secure by Design ?

25-mai-2023

 

Dans le rapport du Sénat du 10 juin 2021 qui s'appuie sur un sondage OpinionWay réalisé par le CESIN sur 228 entreprises, on lit que 57 % des entreprises déclarent avoir connu au moins une cyber-attaque en 2020. À ces menaces s’ajoutent les risques en croissance et à venir :

  • L'internet des Objets (IoT) va augmenter considérablement la quantité de “End Point”. Les appareils connectés prolifèrent de plus en plus sur les marchés, il est crucial que les entreprises mettent en place gouvernanceune stratégie de sécurité plus stricte, à travers une approche de cybersécurité efficace et native.
  • L'exploitation de l’intelligence artificielle qui se démocratise et permet de révéler vos failles de sécurité beaucoup plus rapidement
  • Et, viendra un jour l’ordinateur quantique qui sera en mesure de casser le chiffrage RSA, d’ici 10 à 20 ans

 

Il est donc indispensable, non pas de rajouter des couches de sécurités afin de protéger les données mais bien d’intégrer ces éléments de sécurité dès la conception des services numériques, des infrastructures au développement des applications. C’est ce que l’on peut appeler la Sécurité par Conception ou Security by Design.

Une des définitions est la suivante :

 

"Le concept de Security by Design désigne la prise en compte du risque et l’intégration d’une sécurité fondamentale dans la conception même des infrastructures, des logiciels et produits connectés. On peut parler de sécurité dès la conception, ou de sécurité par conception."

 

Que veut-on dire par « Security by design » ou « Sécurité par conception » ?

 

Le concept de Security by Design s’agit donc d’une approche de développement qui privilégie l’intégration du risque et la sécurisation des réalisations lors de la phase de conception et de codage, plutôt que de consacrer à cet enjeu une étape en aval dans le processus de développement. Il vise à intégrer les notions de sécurité, de contrôle d’accès et de respect de la confidentialité des données tout au long des projets de développement d’applications métier et de dématérialisation. En l’intégrant le plus en amont possible, dès les phases de spécifications puis de conception, les équipes peuvent ainsi mieux anticiper les risques qu’ils soient d’ordres techniques (mise à jour des composantes logicielles, liens avec la solution SSO pour l’authentification, identification de failles potentielles, etc.) ou humains (habilitations, confidentialité, etc.).

 

Davantage encore, elle pense la sécurité et la prévention des cyber-menaces comme un élément fondamental du développement logiciel et des déploiements de systèmes d’informations.

 

En d’autres termes, l’approche SbD (Security by Design) vise à prévenir une atteinte à la cybersécurité plutôt qu’à réparer les problèmes et à restaurer les systèmes après coup.

 

Les principes de la Security by Design :

 

La Security by Design repose sur quelques principes clés :

 

  • Minimisation des surfaces d'attaque : Il s'agit de réduire les vulnérabilités potentielles en limitant les points d'entrée accessibles aux attaquants. Cela implique d'identifier les risques pote ntiels et de mettre en place des mesures de sécurité appropriées dès le début.
  • Séparation des privilèges : Ce principe consiste à accorder des privilèges d'accès uniquement aux personnes qui en ont besoin pour accomplir leur travail. En limitant les autorisations excessives, on réduit les risques d'abus ou de compromission des données sensibles.
  • Défense en profondeur : Il s'agit de mettre en place des mesures de sécurité multiples et complémentaires afin de garantir une protection globale. Cette approche inclut l'utilisation de pare-feu, de systèmes de détection d'intrusion, de chiffrement des données, etc.
  • Traçabilité et auditabilité : Pour assurer une sécurité efficace, il est essentiel de pouvoir retracer et auditer les actions effectuées sur les systèmes. La mise en place de journaux d'audit et de mécanismes de surveillance permet de détecter les activités suspectes et de prendre des mesures correctives rapidement.

 

Impacts sur les organisations

 

En plus des contraintes techniques, la Security by Design a un impact sur les processus métiers internes mais aussi de relations avec ses partenaires fournisseurs mais aussi ses clients.

 

Il est donc indispensable de bien cartographier ses processus, de mener des analyses de risques et d’impacts avec les différents représentants des organisations (RH, Servide clients, finance, ventes, production…) La gouvernance de ces interactions est primordiale pour mener à bien ce changement.

 

Des normes et certifications

 

La norme ISO 27001 relative à la sécurité des systèmes d’information prévoit de nombreuses dispositions et bonnes pratiques pour adopter une démarche Security by design. On peut citer par exemple l’importance d’avoir une approche pilotée par les risques, afin d’augmenter au maximum les mesures de protection. Les équipes évaluent ainsi systématiquement tous les risques liés à une fonctionnalité, un flux d’intégration de données, l’envoi d’un rapport documentaire, etc. De plus, cette approche par les risques s’inscrit parfaitement dans la méthode agile lors de la conception de l’application métier.

La certification française de l’ANSSI SecNumCloud intègre aussi ce concept en renforçant la notion de souveraineté numérique.

Enfin, la notion de Security by design touche également la notion de Privacy by design et de protection des données personnelles car conformément au RGPD, certaines informations gérées par les applications métier ne peuvent être partagées à d’autres personnes même si elles concourent à transformer la donnée dans des règles métier.

 

Un intérêt aussi économique

 

Tel qu’évoqué précédemment, la prise en compte de la sécurité dès la conception permet d’intégrer le risque et augmenter la sécurité d’un système. In fine, cette approche par anticipation peut se révéler particulièrement intéressante d’un point de vue économique. En cas d’incident, les dommages et les pertes financières seront minimisés si la conception du système est secure by design.


 

Pascal Baratoux

CEO Innovalead


 

 

 

--    Ils nous font confiance   --

--    Chartes & Labels    --

Acteurs France Num

--    Notre éco-système   --

Les Cas d'Or
Solainn
Digital League
BankVault
CPME
CortexEra

--    Notre fondateur   --

Pascal Baratoux

Président - Fondateur

Mes engagements :

Engagé dans le numérique depuis le début de ma carrière professionnelle, j'ai fondé Innovalead, cabinet de conseil spécialisé dans l'accompagnement des organisations dans leur parcours de transformation numérique. Je suis persuadé que le numérique est une opportunité si cette transformation se fait en profondeur, avec de l'intelligence collective et sur l'ensemble des structures et des collaborateurs de l'entreprise. Le numérique ne doit pas être une fin en soi, mais bien être un outil au service de la stratégie afin de permettre à l'entreprise d'atteindre ses objectifs. Dans les choix et conseils, je préconise les solutions numériques, éthiques et responsables qui servent les missions de RSE de l'entreprise. 

 

Mes compétences :

Avec + de 25 ans d’expérience au sein de groupes internationaux de services numériques en France et à l’international, j’ai développé des compétences dans les domaines de la digitalisation de processus métiers des petites et grandes entreprises et des relations métiers avec les Directions des Systèmes d’Information (DSI) internationales. Mes différentes responsabilités au sein de directions de services clients et de systèmes d’information m’ont permis de bien appréhender les besoins et contraintes quotidiens des clients et de leurs adéquations avec les services proposés par les DSI et les sociétés de services. Ces dernières années m’ont permis d’approfondir mes compétences dans la gestion de projets complexes et internationaux ainsi que des risques de cybersécurité en perpétuelle augmentation. Je me définis souvent comme un facilitateur de transformation.

 

Mon parcours :

Directeur de la relation entre la DSI et des filiales européennes, au sein de grands groupes internationaux, diplômé Executive MBA à HEC Paris, mes études et mon parcours professionnel m’ont amenée à découvrir et à comprendre différentes cultures internationales et de saisir les clés d'une transformation numérique réussit.  Autant d’expériences qui m’ont permis d’appréhender le monde de l’entreprise, avec ses enjeux environnementaux, sociétaux et éthiques.

 

 

#TransFoNum #Dématérialisation #Innovation #NumFrance #IntelligenceCollective #NumResponsable