Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

5ème CSO Interchange France : Echanges fructueux

mai 2010 par Marc Jacob

Pour sa cinquième édition, le succès était au rendez-vous du CSO Interchange. Plus d’une soixantaine de RSSI étaient au rendez-vous, dont une dizaine de RSSI du Club INFONORD, pour débattre de 6 thèmes d’actualité : le DLP, les politiques d’accès à l’heure de la mobilité, le mélange de la vie privée et professionnelle à l’heure des réseaux sociaux, les outils et bonne pratique de sensibilisation, la diffusion des incidents de sécurité, et la sécurité des applications Web. Après une introduction de Philippe Courtot, CEO de Qualys et à l’origine de la création de Security Vibes qui porte maintenant cet événement, d’Aurélien Cabezon, animateur de Security Vibes, et une présentation rapide des tendances du marché par Eric Domage d’IDC, les échanges fructueux ont été lancés.

Philippe Courtot a dressé un rapide historique de l’évolution de Security Vibes. Aujourd’hui, ce réseau social à destination des RSSI accueille plus de 800 praticiens de la sécurité : RSSI, Risk Managers, administrateurs réseaux sécurité… Philippe Courtot et Aurélien Cabezon ont annoncé un changement de la plate-forme qui va pouvoir être élargie à des experts tout en gardant sa particularité de réseaux privés. Cette nouvelle plate-forme sera lancée durant les Assises de la Sécurité de Monaco en octobre prochain. Pour Philippe Courtot, cette évolution n’a pu avoir lieu que grâce au Cloud Computing : « ce lancement démontre la puissance du Cloud ! »

Puis Philippe Courtot a analysé l’évolution de l’économie mondiale. Pour lui, les Etats-Unis subissent actuellement une crise structurelle profonde avec des systèmes de blocage « à la française compliqués et paralysants avec en plus un système judiciaire très puissant. L’Etat lui-même n’hésite plus à attaquer les entreprises privées. » Ainsi, le taux de chômage est de 9 à 10% au lieu de 4%, l’endettement de plus en plus important, la population vieillissante… Aujourd’hui, la Chine et l’Inde sont des concurrents avec lesquels il faut compter dont les populations sont jeunes, dynamiques et de mieux en mieux formées.

Pour lui, « le Cloud est un énorme moteur de changement, il va susciter une consolidation des acteurs importants avec dans le domaine de la sécurité des rachats d’acteurs comme on l’a vu récemment avec Symantec qui a acquis PGP, ou encore HP avec Tipping Point. Le Cloud est une opportunité pour les RSSI qui vont pouvoir aider leurs entreprises à passer cette étape en toute sécurité. »

Eric Domage, IDC, s’est attaché à décrire le marché du Cloud. Les études montrent que le Cloud plait aux DSI, car c’est un service économique avec un TCO réduit, qui réduit les équipes et avec un ROI immédiat. En France, 15% des entreprises feraient du Cloud, par contre une généralisation de l’adoption devrait être lente. Le Cloud fait exploser les modèles de sécurité traditionnelle, mais il n’engendrerait pas de nouveaux risques. Pour s’imposer, le Cloud va sans doute s’appuyer sur l’IAM, en particulier avec le standard SAML 2.0, la cryptologie et surtout une lecture attentive des contrats.

D’une table à l’autre

DLP : nette évolution des mentalités

Au delà des outils, la protection des données critiques de l’entreprise passe par leur identification : collecte, identification et protection des données sensibles, tel était le postulat du débat. Les conclusions ont montré qu’il y avait une nette évolution des mentalités. Le DLP ne fait plus discussion. Ainsi, deux RSSI ont déjà mis en place dans leur entreprise respective une solution de DLP. Le problème est la caractérisation des données critiques. Pour les uns, ce sont les métiers qui savent désigner ce type de données. Pour d’autres, les données critiques font partie de la culture d’entreprises. Dans tous les cas, une implication des métiers est un prérequis.

Quelle politique d’accès à l’heure de la mobilité ?

Utilisateurs nomades, terminaux non maîtrisés, mélange des usages personnels et professionnels : la politique d’accès doit muter et s’adapter à une informatique tournée vers la donnée et non plus vers l’utilisateur ou son terminal. Quelles sont les évolutions des politiques d’accès distant face à l’utra-mobilité des utilisateurs. Pour nos RSSI, la situation la plus simple est de fournir un ordinateur qui est pré-installé. Par contre, les nouvelles générations nées à l’ère de l’informatique ont leurs propres outils et leurs habitudes. Enfin, les VIP suivent la mode en cette matière. Ainsi, ils sont passés du BlackBerry à l’iPhone. Par contre, un des effets de la Grippe A a permis aux DRH de se pencher sur le télétravail. En matière de mobilité, le principal problème est l’inconscience des utilisateurs face aux dangers du surf.

Vie privée, vie professionnelle : le mauvais cocktail sur les réseaux sociaux : les outils de sensibilisation sont l’arme des RSSI

Le mélange des genres est au coeur des réseaux sociaux : les utilisateurs y parlent autant de leur vie privée que de leur entreprise au quotidien. Quels dangers ? Quels contrôles ? Points de vue, astuces techniques, juridiques et sensibilisation des utilisateurs aux réseaux sociaux. Le problème principal est encore une fois l’imprudence des utilisateurs dans l’usage des réseaux sociaux. Aujourd’hui, il n’est plus possible d’interdire l’usage des réseaux en entreprise. Une des solutions peut être le déploiement de solution de DLP, mais surtout des actions de sensibilisation. Ainsi, plusieurs astuces sont utilisées par les RSSI, les BD ludiques, mais aussi l’exemple dans le cadre de cas concrets qui mettent les utilisateurs faces aux implications de leurs actes. Plutôt que d’amender la charte de la sécurité qui est un exercice lourd, les RSSI préfèrent utiliser des outils didactiques et pédagogiques des bons usages de l’IT.

Outils et bonnes pratiques de sensibilisation pour la Direction et les utilisateurs

La sensibilisation, c’est bien, mais encore faut-il choisir le bon outil en fonction de la cible. Affiches, jeux, bandes dessinées, sessions collectives, les possibilités sont nombreuses. Et une fois le projet lancé, il faut également en mesurer les résultats. Quels outils et supports en matière de sensibilisation à la sécurité ? Aujourd’hui, les outils encore les plus utilisés sont la bureautique avec le texte et un peu de vidéo. Par contre, les outils de e-learning commencent à démarrer. Les RSSI souhaitent de plus en plus procéder à des mesure de ROI sur les actions de formations. Ils préfèrent de plus en plus faire de la formation spécialisée par catégorie de métiers : les développeurs, les directions, la production… Certains font même une semaine sur la sécurité une fois par an. Là encore, on voit poindre des actions sur les mélanges entre la sphère personnelle et celle de l’entreprise.

Incidents de sécurité : la remontée évite l’escalade

La gestion des incidents de sécurité peut être particulièrement simple : il suffit de ne rien faire remonter. Pour les entreprises qui décident en revanche de collecter, trier et exploiter les incidents, la tâche est plus complexe. Que conserver ? Comment les trier ? La corrélation a-t-elle un intérêt ? Faut-il dédier une équipe à la réponse aux incidents ? Quelles sont les bonnes pratiques en matière de collecte et de traitement des incidents de sécurité ? Dans la réalité, il y a peu ou pas de dispositif particulier en ce domaine. Il est géré comme un incident normal. Des problèmes de conservations des traces et surtout de qualification de ces incidents ont été évoqués. La non déclaration d’incident par les collaborateurs peut engendrer une escalade parfois difficile à contrôler.

La Sécurité des Applications Web

Les applications web sont aujourd’hui en première ligne et à travers elles, les bases de données et potentiellement les applications métiers. Quelles stratégies de défense spécifique aux sites et application web ? Deux types de menaces ont été évoqués : les menaces techniques et fonctionnelles. Les premières sont les attaques classiques de types injection SQL… les secondes concernent les attaques sur les workflows applicatifs. Les solutions sont d’intégrer la sécurité dans le développement, faire de la revue de codes, de l’audit de sécurité, du test de vulnérabilité avec différents outils pour terminer par le déploiement de firewalls applicatifs. Le problème crucial reste l’externalisation des développements Web.




Voir les articles précédents

    

Voir les articles suivants