Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Eric Fries, PDG d’Allentis : Le déploiement d’outils de sécurité doit aller de pair avec un bon collectif

janvier 2019 par Marc Jacob

Pour l’édition 2019 du FIC, Allentis présentera sa gamme de boitiers TAPs de réplication de trafic à destination des OIV et des OSE, ses diodes réseau, ainsi que les évolutions de sa gamme de sondes QE. Devant l’évolution des menaces, Eric Fries, PDG d’Allentis considère que le déploiement d’outils de sécurité est important mais qu’il doit aller de pair avec un bon collectif de compétences.

Global Security Mag : Quelle actualité allez-vous mettre en avant à l’occasion de la 11ème édition du Forum International de la Cybersécurité ?

Eric Fries : Nous allons présenter notre gamme de boitiers TAPs de réplication de trafic à destination des OIV et des OSE, nos diodes réseau, ainsi que les évolutions de notre gamme de sondes QE.

GS Mag : Selon vous, qu’ils soient d’ordre psychologique, technique, humain ou financier, quels sont les défis liés à la sécurité et à la privacy « by-design », thème du FIC 2019 ?

Eric Fries : Il y a deux aspects dans cette question, suivant qu’elle concerne les projets de sécurité en tant que tels, ou ceux dont elle est une simple composante. Pour ces derniers le principal défi est de faire en sorte que la sécurité soit prise en compte au bon moment dans chaque projet. Et là on constate que même dans les plus grandes organisations cela n’est pas toujours le cas, en particulier sur les développements applicatifs. En ce qui concerne les projets purement de sécurité, la situation est différente. Sous la pression des évènements que chacun connait, et en France notamment sous la forte impulsion de l’ANSSI, les choses ont beaucoup évolué. La sensibilisation au plus haut niveau des entreprises est réelle, au moins dans les grandes organisations. La mise en œuvre de moyens appropriés est partout à l’œuvre. Deux problèmes subsistent, l’un financier avec des coûts parfois très élevés, il y a un vrai risque de mauvaise allocation des ressources comme cela avait déjà été le cas à plusieurs moments du cycle de vie de l’industrie informatique, l’autre d’accès aux compétences techniques, car il y a pénurie de ressources humaines pointues. Enfin la problématique du facteur de risque humain est cruciale.

GS Mag : Quels sont vos 3 conseils aux organisations pour relever ces défis ?

Eric Fries : Vous pouvez disposer de toutes les méthodes et outils, si vous n’avez pas les bons collectifs humains cela ne sert strictement à rien. S’il faut trois recommandations, je proposerai ce qui suit.
Tout d’abord, il faut savoir de quoi on parle, c’est-à-dire estimer de manière aussi précise que possible les risques contre lesquels il convient de se protéger. La surface d’attaque a tendance à augmenter en parallèle avec la complexification de l’urbanisme des systèmes d’information dont le cœur est désormais en partie externalisé. Ce travail est à un processus continu tout au long du cycle de vie de chaque projet.
Ensuite dans la phase de mise en place des moyens de sécurité il faut arriver à identifier le juste milieu, c’est-à-dire les services et/ou les produits qui apporteront un niveau de protection satisfaisant. Inutile de viser le 100% sécurisé, l’asymptote n’atteindra jamais sa cible, mais les coûts eux n’arrêteront pas d’augmenter à si l’on persistera à courir après une cible chimérique. Sans négliger le fait que de nombreuses entreprises sont encore sous-équipées, il faut bien voir qu’à l’inverse il y a un vrai risque de surinvestissement financier dans le domaine de la sécurité. Il y faut beaucoup de discernement.
Enfin, et cela est en fait le point essentiel, le facteur humain. Il est nécessaire de s’appuyer sur des personnels ayant une vraie capacité de discernement qui dépasse les indispensables compétences techniques. Il faut sensibiliser à la sécurité les métiers qui étaient peu familiers du sujet, soit parce que leurs compétences en étaient éloignées, soit par la force des habitudes, et même au sein des personnels informaticiens dont de nombreuses pratiques sont à revoir.

GS Mag : Qu’est-ce qui a changé pour les entreprises avec le RGPD et où en sont-elles dans leur mise en conformité ?

Eric Fries : Cette réglementation introduit une nouvelle relation entre les individus et les organisations détenant des données. Elle mélange des problématiques techniques et psychologiques. Dans les entreprises cela a provoqué une réflexion d’ensemble sur la manière dont les données sont traitées. Cela a amené à se poser des questions qui débordent même du cadre de la RGPD qui a servi de déclencheur à une nouvelle prise de conscience.
Chez Allentis nous ne disposons pas de retours pertinents nous permettant de répondre à la seconde partie de la question. Mais nos clients nous évoquent régulièrement le sujet lorsqu’ils mettent en place nos solutions de surveillance.

GS Mag : A quoi devons-nous, selon vous, nous attendre en 2019, que ce soit du côté de l’attaque ou de la défense ?

Eric Fries : A mesure que les protections contre des attaques extérieures progressent, il faut s’attendre à plus d’attaques de l’intérieur. De plus la généralisation d’objets connectés plus ou moins fiables augmente la surface d’attaque. Mais je me garderai bien de quelque prévision en la matière.
Du côté de la défense l’offre s’accroit en nombre et en qualité. La mise en place de SIEM va rationnaliser la gestion de l’information de sécurité. Et la montée en compétence des personnels sur la sécurité sera une garantie supplémentaire.

GS Mag : Quel est votre message à nos lecteurs ?

Eric Fries : Nous vous attendons sur le stand d’allentis (A14) les 22 et 23 janvier au FIC !


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants