Julien Champigny

Julien Champigny, en charge de l’offre de Sécurité de BT France, a présenté rapidement son entreprise forte de 2.500 personnes, dont 500 spécialisées dans la sécurité. L’offre de BT en matière de sécurité couvre l’infrastructure, les applications, la conformité, la gouvernance…

Mathieu Poujol, PAC : Les budgets sécurité en 2010 sont en croissance

Mathieu Poujol, consultant chez PAC (Pierre Audouin consultants), a effectué un compte rendu d’une enquête réalisée auprès de 250 entreprises sur l’Etat de la Sécurité en France. Parmi les points forts, il faut noter que le marché de la sécurité est un des seuls en croissance en 2010. Ceci est dû à une maturité faible des sociétés françaises vis-à-vis de la sécurité, mais aussi à la virtualisation et du Cloud Computing, à la sophistication des attaques et aux obligations règlementaires. Le principal frein reste toujours les budgets.
Pour les RSSI, une des préoccupations est la négligence des utilisateurs (mot de passe collé sous les claviers, surf sur des sites dangereux, clic sur des liens…). Les grandes entreprises sont très sensibles aux attaques externes, mais aussi aux problèmes liés à la mobilité et au Cloud Computing. Il constate un certain conservatisme dans les stratégies de sécurité. On reste dans une approche centralisée de la sécurité avec peu d’appels à l’externalisation. Le RSSI est un "influenceur" mais son rôle s’affirme de plus en plus par rapport à la DSI. Parmi les acteurs du conseil et de l’intégration en sécurité, on trouve Orange, BT, Telindus, Verizon et NTT pour les 5 premiers.

Au niveau des solutions, on constate encore un certain retard en ce qui concerne l’IAM. On voit une augmentation des projets de PRA/PCA, de la gestion des vulnérabilités et des mises en place des politiques de sécurité.

Justin Coker, Skybox : la sécurité peut devenir un centre de profit

Justin Coker, VP EMEA Sales de Skybox, a présenté son offre de modélisation et de simulation de gestion des risques. Cette solution propose un mapping des risques à la fois sur le réseau et les accès critiques en fonction de l’architecture du SI et du positionnement des outils de sécurité. Bien sûr, ce logiciel propose une remédiation et des rapports. Cet outil fait une analyse non destructive. Son principal intérêt est de donner des mesures de risque de façon automatique. Puis, il a cédé la parole à deux de ses clients la Lloyd Bank et une entreprise française. Dans le cas de la Lloyd Bank, il s’agissait en 6 mois de fusionner son SI avec celui d’HBOS, une société qu’elle avait acquise. Le RSSI a utilisé Skybox pour analyser rapidement les vulnérabilités de chaque serveur, lien SSL…afin d’une part de choisir une stratégie de remédiation et d’assurer le rapprochement des deux SI en minimisant les risques.
Aujourd’hui, il a une visibilité complète sur les risques de ses 550 firewalls et 20.000 serveurs. Il fait fonctionner Skybox en complément de Foundstone de McAfee.

Pour ce client français, il s’agissait de rapprocher 3 périmètres : le fixe, les mobiles et le SI mobile. Dans son scope, il a 3 data center en Ile de France, 10 data centers secondaires, 3.500 équipements réseaux et sécurité… son problème était de pouvoir maîtriser les flux de bout en bout avec 3 questions :

1) Le flux est-il déjà activé ?
2) Quel chemin emprunte-t-il ?
3) Le flux est-il conforme à la politique de sécurité ?

Skybox lui a permis des gains de productivité, en particulier pour la qualité des opérations réalisées :
1) test des règles implantées et de l’implémentation
2) traitement plus rapide
3) audit de conformité des implémentations par son info-gérant vis-à-vis de la politique de sécurité de son entreprise
4) Il a aussi plus de reporting du niveau de sécurité.

Selon lui, avec Skybox, la sécurité devient un centre de profit !

Philippe Rondel, Check Point, remet l’utilisateur au centre de la sécurité avec la vision 3D Security

Philippe Rondel, Directeur technique de Check Point, a présenté la vision 3D Security de son entreprise qui inclut la politique de sécurité, l’implication des utilisateurs et les outils de sécurité. Dans cette vision, la politique de sécurité doit être basée sur l’utilisateur.

Pour Philippe Rondel, on constate une plus grande sophistication des attaques, un nombre accru d’attaques plus ciblées et silencieuses, sans compter l’hacktivisme. Prenant l’exemple de Stuxnet, il a rappelé que l’architecture était très sophistiquée avec l’utilisation de 4 vulnérabilités dont 2 inconnues, une spécialisation sur les réseaux SCADA. Enfin, plusieurs technologies de Command & Control, P2P et un Anti-virus Evasion Technique ont été utilisées.

Les attaques les plus retentissantes sont aujourd’hui celles qui ciblent le poste de travail avec une diffusion par de simples clés USB ou des Drive by Downloads. Ainsi, une seule technologie de sécurité ne suffit plus pour parer toutes les attaques. Il faut s’équiper de solutions globales et centrer sur les utilisateurs.

Bruce Schneier : Il faut créer un cyberespace neutre

Bruce Schneier a conclu cette matinée en proposant sa vision de la cyberguerre. Pour lui il faut faire attention avec ce mot. En effet, il est souvent utilisé à tort par la Presse en mal de scoop. Il s’agit parfois d’attaques de « jeunes internautes agités ». Bien sûr, il ne faut pas se voiler la face, des actes de cyberguerre ont déjà eu lieu comme dans le cas de l’Estonie, de la Géorgie, d’Israël lors du bombardement de la centrale atomique en Syrie…Le problème avec les actes de guerre sur le net est que l’on ne sait jamais d’où vient l’attaque, qu’il n’y a pas de « déclaration de guerre », qu’il y a de nombreux mercenaires. Bien sûr, cette armée n’a pas d’uniforme et frappe les populations civiles sans aucun discernement.

Il a rappelé que la cyberguerre ne date pas d’hier. En effet, en 1991 les Etats-Unis l’avait utilisée lors de la livraison d’imprimantes en Irak qui contenaient des malwares, mais aussi contre l’URSS en ciblant des infrastructures critiques.

Bruce Schneier met en garde sur l’utilisation de cette terminologie qui pourrait un jour peut-être voir l’armée mettre la main sur le Web… et en attendant de multiplier le déploiement d’outils de surveillance. Ainsi, les opérateurs Télécoms pourraient devenir des informateurs pour les militaires… Il estime qu’il va falloir mettre des mesures afin de limiter les dégâts collatéraux sur les civils en cas de cyberguerre. Il souhaite que les états édictent des règles pour protéger les civils en cas de cyberguerre. Le problème avec ce concept c’est que la guerre ne peut être que totale. Il a milité pour la mise en place d’un cyberespace neutre.