Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Michel Souque, PrimX Technologies : La certification est notre orientation stratégique

mars 2009 par Marc Jacob

A l’occasion de la remise de sa certification au Critère Commun EAL2+ pour l’intégralité de ZoneCentral son logiciel de chiffrement, PrimX Technologie avait organisé une rencontre avec ses principaux clients et partenaires. Durant, cette matinée, Nathalie Lambert, Principal Analyst du Groupe Forrester Research a dressé un panorama de l’état des menaces qui pèsent sur les SI. Puis Michel Souque, président de PrimX Technologies a présenté sa stratégie. Enfin, Patrick Pailloux, directeur de la DCSSI a remis la double certification à Serge Binet le Directeur Général de la société. Pour Michel Souque, la certification est une orientation stratégique qu’il compte poursuivre dans les prochaines années.

Nathalie Lambert, Principal Analyst du Groupe Forrester Research a présenté en guise d’introduction l’état de la sécurité dans les entreprises. Selon les résultats des enquêtes effectuées par son Groupe, les entreprises sont préoccupées par la perte de données et les fuites d’informations. Ainsi, avec l’élargissement du périmètre des SI du fait de la mobilité et de la nécessité des utilisateurs de rester connecté les menaces se multiplient. Les entreprises ont beau empiler les couches de sécurité, elles n’arrivent pas à totalement sécuriser leur SI. De plus, cette multiplication de produits de sécurité leur coûte cher tant au niveau des coûts d’acquisition des produits que de leur administration (maintenance et frais de personnels). Aujourd’hui, les entreprises ont déployé la plupart des outils de sécurité traditionnels : antivirus, firewall, patch management, IDS/IPS… sans avoir une sécurité totale. En effet, l’un des points faibles est la perte de PC et d’outils de mobilité. Ces devices se multiplient dans les entreprises. Ils sont de plus en plus puissants et de plus en plus petit. Le moindre PC a un disque dur de 80 Gigas. Toutefois, dans les entreprises on n’a pas encore pris la mesure des dangers. Il devient donc important de sensibiliser les dirigeants, les DSI, les RSSI et plus largement l’ensemble des salariés. Bien sûr, cette sécurisation induit des coûts et rajoute une couche supplémentaire à administrer. Pourtant, cette sécurisation devient nécessaire, car on dénombre plus de 800.000 PC portables perdus chaque année. A Roissy, par exemple 733 PC portables sont perdus chaque semaine ! De même à l’aéroport de Los Angeles 1.200 PC disparaissent chaque semaine. Dans tous les Etats-Unis 12.000 PC sont égarés chaque semaine… La majorité d’entre eux ne sont protégés, malgré les impacts qu’engendrent ses pertes sur les entreprises en termes d’image mais aussi dans certains pays du montant des amendes. Elle a donné trois exemples récents en mettant l’accent sur les problèmes induits par ses pertes :

Une société à suite à une perte de PC contenant des identités du payer en Grande Bretagne une amende de 980.000 £.

Un fournisseur d’EDS a perdu un PC portable contenant des informations sur des employés des forces armées et 600.000 noms de recrus. Pourtant, cette société avait eu un incident du même type l’année précédente.

Un ministère de la Défense a égaré 658 PC en un an.

Pourtant, des outils de sécurité, en particulier ceux qui utilisent des technologies de chiffrement, existent pour sécuriser les PC et autres outils de mobilité.

Devant ces problèmes, il faut utiliser des technologies de chiffrement du disque des fichiers, des mails… Il faut aussi contrôler l’accès des outils de stockage : clés USB, disques durs externes, IPod, IPhone… tout en repensant au réel besoin des utilisateurs et ne pas hésiter à restreindre les possibilités de les connecter. La solution choisit doit protéger toute l’infrastructure avec une gestion centralisée simple à utiliser et contenir des interfaces aux annuaires d’entreprise. Il doit offrir la possibilité d’appliquer des politiques de sécurité différenciées en fonction des groupes d’utilisateurs. Il faut aussi que les administrateurs qui récupèrent les PC ne puissent pas lire les informations contenues. Enfin, ce produit doit donner une visibilité complète sur l’infrastructure et être en phase avec les rapports d’audit.

Elle a conclu son intervention en donnant trois recommandations :

1) Assurez-vous que les outils traditionnels de sécurité sont déployés pour assurer une sécurité de base,

2) Vous devez convaincre la direction générale de l’intérêt de mettre en place une solution de chiffrement des données,

3) Trouvez un fournisseur de chiffrement qui vous « simplifie la vie » en protégeant de façon simple et facile en proposant une gamme de solution complète.

Suite à une question de l’auditoire, elle a aussi recommandé de mener des actions de sensibilisation en prenant des exemples de cas de perte de données où l’impact a été important. Enfin, elle a rappelé l’importance de classifier les informations en utilisant des mots clés. Chaque mail sensible envoyé doit être précédé d’un pop-up d’avertissement pour rappeler son importance à l’utilisateur.

Michel Souque

Michel Souque, président de PrimX Technologies, a décrit dans le détail les étapes d’obtention de la double certification de ZoneCentral au Critères Commun EAL2+ et à la Qualification pour les administrations. Pour obtenir cette certification, il a choisit comme CESTI Oppida et s’est fait conseiller dans sa démarche par AQL (Groupe Orange) qui est aussi un CESTI. Ainsi, ZoneCentral a subi tout un ensemble de test sur le processus du chiffrement du produit, les deux mécanismes d’authentification des utilisateurs (certificat X509 et mot de passe), l’administration du produit, la protection des informations résiduelles, l’enregistrement des événements de sécurité…

Pour lui, la certification est une orientation stratégique qu’il compte bien poursuivre en certifiant d’autres produits de sa gamme en particulier Zed. Il a annoncé que Zed visait une certification EAL3+. Il a aussi mentionné qu’il s’engageait dans une procédure d’Insurance Continuity pour entretenir sa certification sur ZoneCentral.

Michel Souque a rappelé que ses produits sont utilisés dans de très nombreux domaines d’activité : administrations, collectivités locales, services et transport, industrie, distribution, enseignement-recherche… Après avoir conquis le marché français, il s’est engagé dans une conquête de marchés à l’étranger comme la Belgique, la Suisse, l’Italie, l’Espagne… Pour lui l’export est une nécessité.

Serge Binet

Serge Binet, Directeur Général de PrimX Technologies a expliqué que la certification avait eu un impact sur les procédures de son laboratoire de R&D. En effet, ces process ont été renforcés dans tous les domaines.

Il a aussi présenté les améliorations de la ZoneCentral version 4. Cette version propose ZoneBoard une console d’administration avec un pilotage des zones chiffrées afin de gérer plus facilement les utilisateurs. Cet outil de supervision a une interface visuelle qui permet de visualiser l’ensemble du SI. Elle propose un support des systèmes 64 bits particulièrement utile pour les serveurs Citrix. Elle inclut une signature des configurations des politiques de sécurité. Les critères de force des mots de passe ont été aussi refondus. PrimX a aussi développé une API pour que les utilisateurs puissent développer leurs propres outils. On y trouve aussi une fonction « maîtrise des droits de chiffrement » des utilisateurs par localisation, type de devices… pour affiner les politiques de sécurité. Enfin, elle propose une installation en mode actif ou inactif.

Pour 2009, Serge Binet a annoncé la version 4.1 de ZoneCentral avec une extension des fonctionnalités de ZoneBoard et une compatibilité avec Windows 7. Zed Mail devrait avoir une interface avec Lotus Notes. Zed devrait voir une refonte de ses couches basses. Des travaux exploratoires sur BlackBerry ont été lancés ainsi que les première « fondation » de travaux sur une compatibilité avec Linux.

Serge Binet et Patrick Pailloux

Pour conclure, cette matinée, Patrick Pailloux directeur a remis officiellement à Serge Binet la Certification au Critère Commun et la le Label de Qualification pour les administrations. Il a rappelé que cette certification est reconnue dans 25 pays dont l’Union Européenne et les pays de l’OTAN. Pour lui, c’est la première qu’une entreprise aussi jeune (PrimX a été créée en 2003) a obtenu une telle certification. Il a entre autre annoncé la pérennisation du CSPN qui est un premier label. Il a conclu son intervention par : « achetez les produits PrimX car ils sont de qualités et certifiés ».




Voir les articles précédents

    

Voir les articles suivants