Information pressejanvier 2016

Orange Cyberdefense

Sommaire

Introduction

Contexte

Orange Cyberdefense protège les actifs des entreprises

La réponse d’Orange : une gamme de solutions

pour sécuriser les entreprises

Iniatives

p5

p7

p10

p13

p15

IntroductionBig data, cloud computing, hyper-connectivité, multiplication des terminaux, objets communicants, développement de nouvelles applications, l’entreprise revoit son organisation et son modèle pour s’ouvrir davantage vers le monde extérieur. Cette transformation digitale, due à la révolution numérique des usages, expose l’entreprise à de nouvelles menaces. La sécurité devient alors un enjeu business pourles entreprises. Orange Business Services accompagne la transformation digitale de ses clients et a défini la cyber sécurité comme un de ses axes stratégiques prioritaires. L’ensemble des expertises en cyber sécurité a été rassemblé au sein de l’entité Orange Cyberdéfense.La cyber sécurité est un axe de croissance fort d’Orange. Orange est convaincu que le marchédu numérique et les services fondés sur la data ne peuvent se développer que dans un contexte sécurisé et rassurant pour l’ensemble des utilisateurs.Fort de son appartenance à un opérateur télécoms mondial, Orange Cyberdefense dispose d’un positionnement hors pair sur le marché de la sécurité numérique. Orange Cyberdefense a pour ambition d’être un acteur mondial de la sécurité des multinationales, leader sur la cyberdéfense en Franceet un leader de la sécurité en Europe.

Orange Cyberdefense Information presse - janvier 2016 5

Dans des contextes de forte compétitivité, les données et l’identité des utilisateurs sont un capital essentiel à protéger. En parallèle du développement de nouveaux usages et services numériques, la cybercriminalité s’industrialise. Protéiforme, agile, sans cesse en renouvellement, elle touche tous les secteurs d’activité et les entreprises de toutes tailles.Hier assez simples, diffuses et identifiables, les menaces d’intrusion et de vol de donnéessont aujourd’hui sophistiquées, ciblées et furtives, visant les infrastructures autant que les terminaux et utilisateurs. De la même façon, la typologie des cybercriminels, leur nombre et leur motivation ont considérablement évolué. Les velléités de rançonnage ne sont plusseulement industrielles.

Des normes et réglementations qui influent sur la politique sécurité des entreprisesFace à la multiplication des attaques numériques, les Etats étoffent le cadre juridique qui s’impose aux entreprises et aux Opérateurs d’Importance Vitale (OIV), dont les obligations en matière de sécurité sont de plus en plus rigoureuses. Par ailleurs, le cadre légal européen se renforce avec la Directive européenne NIS (Nextwork and Information Security).

En parallèle des aspects juridiques, les entreprises sont de plus en plus soumises à des standards et règlements de sécurité,ce qui impose des processus rigoureux aux entreprises.

Parmi eux, la norme ISO 27 000 impose un management de la sécurité de l’information ou encore le standard PCIDSS qui porte sur la sécurité des paiements par cartes bancaires ou via mobiles.

A horizon 2030, ce principe de normalisationet de conformité à la sécurité sera étendu à un périmètre beaucoup plus large qu’aujourd’hui. En effet, les usages du numérique allant en croissance, notamment sur le plan économique et social, nécessiteront une plus grandemaîtrise étatique de la cyber sécurité. De manière générale, l’enjeu à venir visera à standardiser la sécurité avec des labels en fonction du contexte d’utilisationet de la réglementation sectorielle, où, par exemple les objets connectés seront particulièrement concernés. Dans ce contexte, marqué par l’ouverture des réseaux informatiques, des nouveaux usages et de la progression des menaces, réaliser un reporting de conformitépourrait s’avérer complexe pour une entreprise.

ContexteDes menaces en progressionet toujours plus ciblées

Repères Orange Cyberdefense6Orange compte 6 SoC (Security Opération Centers) répartis dans le monde (2 en France, 1 en Belgique, 1 en Inde, 1 à Maurice et 1 en Egypte) qui surveillent et réagissent aux événements 24/7/365 ainsi qu’un CyberSoC à Rennes qui rassemble la meilleure expertise en analyse de la menace.

1 laboratoire d’épidémiologie et de « signal intelligence ».

+1000 collaborateurs travaillant dans des métiers de la sécurité. Une partie de ces effectifs assure la propre sécurité du groupe et l’autre accompagneles entreprises via Orange Cyberdefense.

30 années d’expérience en sécurisation d’infrastructures critiques.

+39,9%Au 3ème trimestre 2015, les activités sécurité d’Orange Business Services représentent une croissance de 39,9% par rapport à la même période en 2014.

n°1 des fournisseurs de services de sécurité en France pour la 4ème année consécutive en 2013 selon Pierre Audoin Consultants (PAC).

10 000 équipements de sécurité managés par Orange.

Orange Cyberdefense Information presse - janvier 2016 76 Orange Cyberdefense Information presse - janvier 2016

La sécurisation :un enjeu partagépar toutes les directions au sein de l’entreprise Les hackers ont su tirer parti de l’évolution des usages générant des cyberattaques de plus en plus élaborées et fréquentes. Emergence de nouvelles applications et méthodes de travail, un contexte réglementaire plus complexe et le développement du Cloud : les Directeurs des Systèmes d’Information doivent faire face à de nouveaux enjeux de sécurité, avec un périmètre à sécuriser de plus en plus étendu et ouvert.

La question de la sécurité des systèmes d’information devient un enjeu transverse au-delà des seules Directions des systèmes d’information. Les risques juridiques, industriels et financiers liés au piratage informatique font de la cyber sécurité un sujet stratégique que les analystes financiers intègrent désormais dans les critères d’évaluation des entreprises.

Protéger les nouveaux processus numériques, les métiers et savoir-faire de demain est un axe de progrès, d’innovation et de développement stratégique des entreprises.

98 Orange Cyberdefense Information presse - janvier 2016

Orange Cyberdefense protège les actifs des entreprisesFace à ces nouvelles problématiques, Orange, expert en sécurisation d’infrastructures critiques depuis 30 ans, concentre sa stratégie en cyber sécurité avec Orange Cyberdefense qui rassemble depuis janvier 2016 toutes les expertises sécurité de ses entités d’Orange Business Services.

En matière de sécurité le risque zéro n’existe pas, aussi l’entreprise doit se concentre sur la protection des actifs sensibles et limiter l’impact des incidents qui ne pourront être évités. En effet, aujourd’hui la question n’est plus de savoir si l’entreprise va être attaquée, mais comment elle doit se préparerà protéger ses essentiels. C’est à cet enjeu qu’Orange Cyberdéfense répond en accompagnantles entreprises à protéger leurs actifs les plus précieux :

n la disponibilité des services, processus métier et industriels,

n les données économiques et financières de l’entreprise,

n les données personnelles et professionnelles des clients et des collaborateurs,

n les informations liées à la propriété intellectuelle,

n la réputation des entreprises.

Un positionnement uniquesur le marché pour accompagnerles entreprisesLe marché français de la sécurité se répartit principalement entre des sociétés de services informatiques, quelques cabinets de conseils indépendants et des industriels issus du secteur de la défense qui abordent le marché des entreprises.

Fort de son appartenance à un opérateur télécoms mondial, Orange Cyberdefense offre une palette de services sans équivalent sur le marché de la sécurité numérique. Cela lui permet d’intervenir de superviser et de sécuriser les données qui transitent via le réseau avant même que les menaces se matérialisent dans le système d’information de l’entreprise.

Orange Cyberdefense pratique une stratégie de défense offensive : en neutralisant, par exemple, les effets techniques des attaques en déni de service (DDoS) qui pourraient affecter les infrastructures de ses clients. Ses équipes d’ « hackers éthiques » intègrent leur culture de l’intrusion informatique pour fournir les éléments de protection les plus performants.

Savoir-faire d’Orange CyberdefenseLa capacité à détecter des signaux faiblesLe temps de réaction est aujourd’hui un facteur clé pour endiguer l’attaque tout en assurant une continuité de service. En tant qu’opérateur télécoms, Orange Cyberdefense bénéficied’une position privilégiée pour détecter des signaux faibles, précurseurs d’une attaque, avec un temps d’avance. Un atout dont bénéficie Orange pour ses propres infrastructures.Protéger le système d’information de l’entreprise et celui de ses partenaires, un enjeu essentiel.

Une forte capacité d’innovationOrange Cyberdefense collabore avec les équipes des Orange Labs qui travaillent à la mise au point de solutions innovantes en matière de sécurité. La recherche se nourrit des retours de clients à travers le monde, et de l’expérience d’Orange en tant qu’opérateur. Cela permet au Groupe de proposer des prestations adaptées à l’évolution constante des cybermenaces.

Des moyens et ressources inégalésPlus de 1 000 collaborateurs travaillent dans des métiers de la sécurité. Une partie de ces effectifs assure la sécurité du groupe Orange et l’autre accompagne les entreprises via Orange Cyberdefense.La filiale s’appuie sur une pluridisciplinarité d’expertises pour accompagner les projets de ses clients : ingénieurs Cyberdefense, ingénieurs « cyber architecte », chefs de projet, management de la sécurité, auditeurs technique et organisationnel, ingénieurs Sécurité des systèmes, hackeurs éthiques, intégrateurs, développeurs, etc.Orange compte 6 SoC (Security Opération Centers) répartis dans le monde (2 en France, 1 en Belgique, 1 en Inde, 1 à Maurice et 1 en Egypte) qui surveillent et réagissent aux événements 24/7/365 ainsi qu’un CyberSoC à Rennes qui rassemble la meilleure expertise en analysede la menace.

1110 Orange Cyberdefense Information presse - janvier 2016

CyberSoCLe Cybersoc de Rennes analyse les événements, gère les vulnérabilités et en étudie les impacts, organise les mesures de remédiation et des analyses après attaques (forensics).

Ouvert aux clients entreprises d’Orange en 2010, il assurait auparavant la supervision et la sécurité des propres réseaux d’Orange. Il rassemble aujourd’hui toute l’expertise d’Orange en matière d’anticipation et de traitement des menaces en cyber sécurité. Il s’appuie sur :

n des opérateurs qui réceptionnent et qualifient les alertes clients

n des analystes qui évaluent en détail les menaces, rédigent les rapports d’incidents et proposent des premiers plans de remédiation

n des experts qui font évoluer en permanence les règles de détection et de contremesureet assurent un support opérationnel aux analystes de sécurité pendant les crises de sécurité

n des responsables service client sécurité qui pilotent la gestion de la crise et proposentaux clients des plans d’amélioration dans leur politique de sécurité.

La réponse d’Orange :une gamme de solutionspour sécuriser les entreprisesOrange Cyberdefense accompagne les entreprises sur l’ensemble de leurs problématiques de sécurité en leur proposant des services managés, intégrés et hybrides, depuis la définition de la stratégie de sécurité jusqu’à sa mise en oeuvre et sa gestion opérationnelle.

Elle propose à ses clients la possibilité de disposer de services «souverains» avec un engagement sur la protection, la localisation des données en France et sur l’exploitation du service par des personnes dûment habilitées.

Orange Cyberdefense s’adapte aux besoins de ses clients avec des offres packagées et, en tant qu’intégrateur, de solutions sur-mesure en France comme à l’international.

Ces offres s’articulent autour de 5 piliers :

n Définir et renforcer la cyber stratégie de l’entrepriseOrange Cyberdefense dresse, dans un premier temps, un état des lieux de la sécuritédes systèmes d’information de l’entreprise à travers un audit personnalisé pour faire le point sur ses vulnérabilités et ses risques.Cet état des lieux est complété par une revue de la cyber stratégie de l’entreprise pour définir les plans d’actions et enrichir les connaissances organisationnelles et techniques en sécuritéde l’entreprise.

n Construire un environnement de confianceOrange Cyberdefense conçoit, met en oeuvre et pilote les mécanismes de protection des infrastructures, des applications et des données avec des solutions adaptées.Orange Cyberdefense propose également des solutions de sécurisation des systèmes critiques ou industriels et des solutions de protection, de chiffrement, d’anonymisation des donnéesstockées chez le client, dans le cloud ou chez un tiers.

n Assurer la protection de l’ensemble des échanges de l’entrepriseOrange Cyberdefense assure la protection des échanges (applications, M2M, objetsconnectés, échanges des utilisateurs internes à l’entreprise ou avec l’extérieur du SI).Orange Cyberdefense protège également les entreprises contre le déni de service (DDOS)et les menaces avancées persistantes (APT/sandboxing) et protège les communications(voix et SMS).

Orange Cyberdefense Information presse - janvier 2016 1312 Orange Cyberdefense Information presse - janvier 2016

n Evaluer le niveau de perméabilité de l’écosystèmede l’entrepriseAfin de garantir une sécurité optimale, il faut contrôler de manière périodique et permanenteles systèmes de sécurité en place dans l’entreprise. Orange Cyberdefense proposedes solutions d’audit fonctionnel, organisationnel, réglementaire et technique de type pentest« offensif » (test d’intrusion). Orange Cyberdefense assure également la gestion exhaustiveet automatique des vulnérabilités au niveau des infrastructures, des applicationset des terminaux connectés.

n Surveiller et réagirOrange Cyberdefense est en capacité de détecter de potentiels incidents de sécuritéet de protéger l’e-reputation de l’entreprise. Orange Cyberdefense met à dispositionde ses clients son expertise et ressources (surveillance, détection, réaction et veille,jusqu’à l’accompagnement en cas de gestion de crise).Orange Cyberdefense assiste par ailleurs ses clients dans la prévention des risques dommageables à leur réputation par exemple en maîtrisant l’information virale qui circuleà propos de l’entreprise (forums, blogs, réseaux sociaux…). Initiatives

Cigref / Hack Academy

Orange est l’un des principaux opérateurs de télécommunications dans le monde.A ce titre, il est membre du Cigref, un réseau de grandes entreprises qui s’est donnéla mission de développer la capacitédes grandes entreprises à intégrer et maîtriser le numérique.En tant qu’entreprise membre, Orange s’est associé à la campagne de sensibilisationdu grand public à la cybercriminalité lancée en octobre par le Cigref, aux côtésde Atos, Axa, Capgemini, Crédit Agricole, EDF, Groupe BPCE, Hexatrust, MAIF, Novaminds, Opentrust, Société Générale, Solucom, Sopra/Steria et Thalès.Avec un site Internet en ligne depuisle 1er octobre, www.hack-academy.fr,et quatre films à l’accroche pragmatique« Sur Internet, je reste en alerte », la Francea posé la première pierre d’une campagne pour une meilleure protection par chacunde ses données personnelles sur internet.

Formation des futurs talents grâce à un partenariat avec l’ENSIBS

On estime à 1 000 le nombre d’ingénieurs qu’il faudrait former chaque année.La cyberdéfense apparaît désormais clairement au rang de priorité nationale.Ainsi, la loi de programmation militaire2014-2019 va renforcer les moyens humainset matériels dans ce domaine et contribuerà son développement, notamment en termes de recherche et développement.Orange s’est engagé très tôt dansla formation d’ingénieurs en cyberdéfense par alternance délivrée par l’ENSIBS l’école d’ingénieurs de l’Université deBretagne-Sud (UBS), en accompagnant de nombreux apprentis et en devenant parrain de la promotion 2014-2017.Unique en France, le cursus dure 3 anset forme actuellement 90 étudiants qui ont tous signé un contrat en alternanceavec de grandes entreprises ou des PME innovantes spécialistes de la cyber sécurité. Le Groupe Orange accueille aujourd’hui8 apprentis de la promotion 2013/2016, 12 apprentis de la promo 2014/2017et 5 apprentis de la promo 2015/2018.

1514 Orange Cyberdefense Information presse - janvier 2016

Contacts presse :

Gwenaëlle Martin-Delfosse ; gwenaelle.martindelfosse@orange.com, 01 44 37 62 62Caroline Simeoni ; caroline.simeoni@orange.com, 01 44 44 93 93

16 Orange Cyberdefense Information presse - janvier 2016