Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Philippe Courtot, Qualys : Vers un nouveau paradigme de la sécurité

avril 2008 par Marc Jacob

Philippe Courtot, CEO et Chairman de Qualys, a présenté sa vision de la convergence de la sécurité et de la compliance du point de vue de l’utilisation de la Security As a Service (SAS). Pour lui, les législations en vigueur rendent de plus en plus complexe la mise en conformité des SI. Les entreprises doivent aujourd’hui se tourner vers de nouveaux modèles de sécurité comme les SAS.

En introduction de son intervention à la RSA Conference, Philippe Courtot a fait un rapide sondage dans l’auditoire pour savoir si la mise en sécurité et en conformité étaient difficiles à mettre en œuvre dans leur entreprise. Comme il s’y attendait, pour tout l’auditoire, cet objectif est particulièrement difficile à atteindre. Il a pu ainsi développer sa vision de la convergence entre lé sécurité et la compliance au travers des SAS.

Il a dressé un rapide état des lieux de la sécurité aujourd’hui. Pour lui, la défense périmétrique est un leurre. Les entreprises sont confrontées à une sophistication des attaques. Pour y répondre, les éditeurs proposent des solutions de sécurité toujours plus complexes à déployer, multipliant ainsi le nombre d’outils de sécurité présents sur les SI. Les déploiements de ces nouveaux outils peuvent jusqu’à 2 à 3 prendre selon la taille des entreprises. En parallèle, les métiers ont besoin de disposer de toujours plus de ressources car le nombre de données à traiter explose. Les études du Gartner confirment cette tendance.

Les managers, direction RSSI, auditeurs… demandent de recevoir des rapports sur les vulnérabilités et incidents de plus en plus complets et nombreux. Pour répondre aux législations, ils ont aussi besoin d’étendre ses informations aux activités des sous-traitants, contractuels et autres fournisseurs. La présentation même de ses rapports doit être conforme aux exigences des normes Cobit, ISO, ITIL, NIST Security et Compliance Frameworks.

Cet ensemble de contraintes devient de plus en plus difficile à mettre en place de façon complète. De ce fait, la plupart des SI des entreprises contiennent des vulnérabilités plus ou moins critiques mais surtout qui ne sont pas décelées par les systèmes existants, faute de temps et de moyens. Il est donc temps de reconsidérer le paradigme de la sécurité et de la compliance.

Dans ce contexte, le recours au SAS peut être une solution à étudier. Les SAS permettent d’encapsuler la sécurité et de rendre transparente toutes les mises à jours. C’est donc une solution de simplification sans faire de concession sur la sécurité et la compliance. Les réticences existent, elles doivent être levées. Philippe Courtot a conclu son intervention en donnant quelques pistes de réflexions sous forme de questions :

Pourquoi avoir peur de confier sa sécurité via l’internet alors que tous les jours ont fait transiter des millions de dollars sur le Web ?

Réfléchissez aux coûts des licences que vous payez tous les ans en produits de sécurité, et comparez aux prix d’utilisation des SAS…


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants