Pour introduire le sujet Yossi Elbaz, Directeur Européen des Ventes a fait une présentation sur l’importance du contrôle de la sécurité du réseau interne. Pour lui, les RSSI sont confrontés à ce qu’il qualifie de trio infernal : l’utilisateur, le poste client et la sécurité interne. En effet, les utilisateurs par leurs « envies » d’avoir accès aux nouveaux outils de communication (PDA, IPhone, clé USB, réseaux sociaux, messagerie instantanée, partage de fichiers…) ont un comportement à risque qui accroît potentiellement le nombre de menaces sur les SI. De plus, il devient de plus en plus difficile pour les RSSI de maintenir en état de conformité les postes utilisateurs du fait entre autre des problèmes d’agent des différentes solutions de sécurité du marché. Pour lui, la sécurité du poste client passe par son contrôle, mais le fait d’avoir un agent est déjà un point de conformité à vérifier. Ainsi, la gamme de solution de Promisec Spectator et InnerSpace agit sans agent. Elle permet d’analyser en temps réel les risques, de contrôler la conformité des postes (politique configuration et solutions de sécurité) et de réparer de façon automatique les postes non-conformes. Pour y arriver, il faut bien sûr définir un référentiel, contrôler pour trouver les déviances éventuelles, déployer un système d’alarme pour corriger les problèmes et incluant des rapports sous forme de tableau de bord afin d’analyser les tendances et mettre les bonnes mesures en œuvre.

Eric Doyen

Durant son intervention Eric Doyen, RSSI, Crédit Immobilier de France a fait un rappel des principaux éléments imposés par la norme ISO 27001. Il a présenté brièvement son établissement constitué de 17 filiales et 2700 collaborateurs présents sur tout le territoire français. Selon lui, la mise en place de la norme ISO 27001 doit permettre d’améliorer l’approche globale des risques. Elle permet de mettre en œuvre les bonnes pratiques de sécurité, des contrôler son efficacité en fonction de l’évolution du SI et donc de corriger les problèmes. Dans son approche, il n’est pas question pour lui d’obtenir une certification, mais plutôt d’être conforme aux différents objectifs de conformité auxquels il est soumis : Bâle II, ITIL… Ainsi, l’outil Spectator l’aide dans cette démarche et lui permet d’apprécier les risques qui pèsent sur son SI. Dans son cas, il a « hérité » d’un parc hétérogène, de vérifier la conformité de ces processus en pleine évolution liés aux réorganisations de son entreprise. Il inscrit sa démarche dans la fameuse roue de Deming : « Plan Do Check Act » :

– Plan : mise en œuvre en fonction d’une approche ISO 27001 avec un SMSI
– Check : connaître et suivre l’existant, comprendre les attitudes, les comportements et évoluer en fonction des nouveaux risques
Ajuster les stratégies en fonction du niveau de risques ;
– Check & Act : Réaliser les tableaux de bords pour contrôler, sensibiliser, informer, responsabiliser et arbitrer ;
– Harmoniser et homogénéiser les niveaux de sécurité.

Dans ce contexte Spectator lui permet de vérifier les niveaux de sécurité et de fournir des rapports de conformité règlementaire (en cours).

Mathieu Gorge

Mathieu Gorge pour sa part a présenté l’offre commune construite par VigiTrust et Promisec qui permet d’effectuer un benchmarking en fonction de la norme ISO 27001. Il utilise des licences Spectator afin :

– d’identifier les machines non conformes,
– de repérer les failles de sécurité,
– délivrer un rapport de la situation de conformité par rapport à la politique de sécurité du SMSI
– de fournir un outil d’audit interne cyclique
– de rectifier la configuration des machines non-conforme
– de disposer d’un outil indépendant des solutions de protection de contrôler l’utilisation de clé USB et autres outils de communication, du P2P….

Pour lui l’intérêt de la solution Promisec est qu’elle n’a pas d’agent installé sur le poste de travail. Il permet d’affiner la politique de sécurité en interdisant la connexion de tout outil interdit. Ainsi, il est possible d’améliorer les bonnes pratiques en termes de sécurité...
L’offre commune est proposée sur une base de 5 jours hommes, l’utilisation d’une licence Promisec et permet une vérification de la conformité au regard des standards ISO27001, PCI…

Ari Tamman

Ari Tamman, VP Promisec a conclu cette matinée en dressant un panorama des nouvelles formes de menaces internes. Selon lui, les incidents se multiplient à commencer par la perte accidentelle ou non de données confidentielles. Il a cité plusieurs exemples connus comme le cas de Pfizer… Ces événements surviennent entre autre du fait de l’utilisation de plus en plus courant d’outils de communication : clés USB, PDA, PC Portables, disques durs externes… Plus de 1000 entreprises ont été victimes de fuites d’information dans le monde cette année du entre autre au partage de fichiers, via MSN, ou de toutes autres messageries instantanées, de réseaux sociaux comme Facebook, Myspace... Il a aussi montré que plusieurs attaques virales ont « abouti » du fait de la désactivation volontaire ou non des anti-virus sur les postes de travail…

Yossi Elbaz

Yossi Elbaz a conclu ce débat en rappelant que Promisec a lancé depuis quelques mois un rapport mensuel sur l’état de l’évolution de la menace interne téléchargeable sur son site.

Il estime que la sécurité du poste client passe par son contrôle. Selon lui, le renforcement de la sécurité ne peut être effectué que par l’amélioration de la visibilité des événements sur les postes clients.