GS Mag : Qu’avez-vous présenté aux Assises de la Sécurité 2012 ?

Arnaud Cassagne : Pour notre deuxième participation aux Assises, nous avions plusieurs nouveautés à présenter, en plus de notre métier initial. Nous sommes devenus depuis l’édition 2011, centre de formation, et pouvons proposer des formations autour de la sécurité que nous faisons sur mesure, en fonction des besoins de nos clients.

Nous avons également lancé un pôle d’accompagnement longue durée et un pôle services managés, là encore pour apporter des services demandés par nos clients ou prospects. Notre positionnement reste le même depuis le premier jour : accompagner nos clients durant toute la durée de vie de leur Système d’Information.

D’un point de vue plus technique, la tendance est aux architectures type Cloud, aux traitements des données, avec le Big Data qui fait beaucoup parler de lui, et bien évidemment au surmédiatisé BYOD.

Notre approche autour de ces problématiques est d’abord philosophique avant d’être technique. Nous avons un réel rôle de conseil à apporter, afin de partager ce que nous avons pu réaliser ou pu voir chez d’autres.

Enfin, nous avons des nouveaux partenaires technologiques que nous voulions présenter : Trend Micro sur la sécurisation des environnements virtuels et Varonis sur la gouvernance des données. D’autres solutions sont également toujours très demandées, comme Splunk sur l’Intelligence Opérationnelle par exemple.

Les retours ont été des plus positifs puisque nous sommes en train de signer certains contrats stratégiques. Notre positionnement en tant que société experte et réactive plait toujours, et nos clients sont aujourd’hui nos meilleurs représentants.

GS Mag : Quels sont les tendances du marché de la sécurité pour 2013 ?

Arnaud Cassagne : Les deux grosses tendances de 2013 tourneront autour de la mobilité et de la gestion des journaux d’évènements. Le BYOD et le Big Data sont sur toutes les lèvres, mais il est important de prendre du recul, car il s’agit de sujets de fond.

On ne peut pas aborder des sujets de ce type que de façon technique. Ils ont un gros impact sur l’entreprise au sens large. Les ressources humaines pour le BYOD et les métiers pour le Big Data. Le gros avantage, c’est que le service informatique va se trouver au cœur de réflexions stratégiques.

Avec un peu de chance, nous ne serons plus vus comme un centre de coût, mais plutôt comme un facilitateur du quotidien pour les utilisateurs.

Il y aura également de gros chantiers sur la sécurisation des environnements virtuels, car aujourd’hui quasiment toutes les sociétés, des plus importantes aux plus modestes, ont adopté les solutions de VMWare, Citrix ou Microsoft, mais n’ont pas forcément déployés les mêmes mécanismes de sécurité que sur les serveurs physiques.

Enfin, de plus en plus de sociétés connues mondialement subissent des attaques massives (DDOS), et nous allons avoir la aussi des chantiers à venir. L’avantage ? Il existe déjà des solutions dans les briques fonctionnelles installées, et il suffit de réfléchir à la façon la plus efficace de les utiliser.

Sans compter les nouvelles menaces, que tout le monde connaît sous les noms de Zero Day ou d’Advanced Persistent Threat, et face auxquelles chacun va devoir s’armer. Tout le monde pense « produit » face à ces menaces, mais il faut aussi faire monter le niveau de compétences des équipes techniques pour qu’elles se sentent plus à l’aise face aux attaques d’aujourd’hui et de demain.

GS Mag : Comment a été perçu votre conférence aux Assises de la Sécurité ?
Arnaud Cassagne : Nous avons eu de très bons retours suite à notre atelier, même si nous n’avons pas eu le temps d’échanger avec toutes les personnes présentes. Nous avions choisi un sujet qui plait beaucoup aujourd’hui : le BYOD, mais avec deux retours très différents.

Nous avons en effet eu la chance d’avoir deux témoignages clients, comme l’année passée. C’est toujours important d’aborder les retours d’expériences sous deux angles, et ça plait énormément à l’auditoire. D’autant que le discours était très différent des histoires parfois idylliques que l’on peut entendre. Notre message était de ne pas céder à toutes les demandes des utilisateurs, mais de voir comment leur apporter ce qu’ils attendent au final : à savoir travailler avec un terminal sexy, et des outils adaptés. Nous avons également démystifié un certain nombre de croyances, comme la facilité d’appréhender la sécurité des mobiles ou bien la possibilité de faire des économies en autorisant les collaborateurs a utilisé leurs terminaux personnels.

Pendant des années l’informatique a été vu comme une contrainte par les utilisateurs, et la communication entre l’IT et le reste de l’entreprise a toujours été compliquée. Aujourd’hui, nous essayons d’investir les métiers dans nos projets, pour que les projets soient mieux acceptés.

GS Mag : Quel est votre message aux RSSI ?

Arnaud Cassagne : Il est toujours difficile de passer des messages d’ordre général, le métier de RSSI est complexe, et est très lié au secteur d’activité et à la culture de la société.

Pour certains j’aurais tendance à dire « attention à la conformité à tout va ». Conformité et sécurité ne vont pas toujours de paire. Les nouvelles menaces vont très vites, et les différentes normes ou certifications ne vous protègerons pas. Il faut également faire attention à ne pas sombrer dans la paranoïa. Il y a énormément d’attaques aujourd’hui, mais tout le monde n’est pas visé…

Pour d’autres, je leur dirai qu’il ne faut pas se lancer tête baissée dans des chantiers en fonction de l’actualité. Il est important de se rapprocher des métiers, et de mieux communiquer sur les projets, afin de fédérer toute l’entreprise.

En complément, les investissements qu’ils ont faits n’ont pas toujours été optimisés. Il n’est pas rare de voir certaines solutions techniques utilisées à 10 ou 20 % de leurs capacités, ou bien encore de voir des mécanismes de protection désactivés, alors qu’ils auraient pu bloquer des attaques. Par moment il n’est pas nécessaire d’aller investir sur le dernier équipement à la mode, la solution se trouve déjà en salle machine, il suffit de l’activer !