Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CSO Interchange 2009 : échanges et convivialité

juin 2009 par Marc Jacob

Les tables rondes de l’édition 2009 de CSO Interchange ont été animées par des RSSI et des experts dont Eric Domage, directeur EMEA d’IDC et Jérôme Saiz rédacteur de SecurityVibes.com. Elles ont permis à plus d’une trentaine de RSSI grands comptes d’échanger sur les thèmes de sécurité à la mode : Cloud Compting, DLP, Conformité, menace interne et externe, sensibilisation des utilisateurs et les investissements en temps de crise. Cette journée a permis des échanges fructueux dans une ambiance conviviale.

Jérôme Saiz animateur de la session sur le Cloud Computing titrée « la sécurité dans le nuage, c’est du vent ? » faisant état des échanges qui ont eu lieu à sa table mettant en exergue que selon les RSSI le risque plus important est de conserver les données dans l’entreprise et non de les externaliser. Par contre, un des problèmes est la conservation des logs complets non modifiés dans le temps. Selon, les RSSI il serait nécessaire d’obtenir des journaux horodatés et certifiés par un tiers de confiance. De plus, il faudrait que les journaux soient liés à la politique interne. Aujourd’hui les formules de SAAS sont adaptées aux applications qui ont peu de valeurs ajoutées. Par contre, pour les applications métiers les entreprises ne sont pas prêtes à faire le pas. Concernant le vol d’information, ce n’est pas la préoccupation principale comme l’a souligné un RSSI par un : « nous ne savons même pas où se trouve nos données avec le Cloud Computing, alors d’ici qu’un pirate puisse les voler… » Par contre, les attaques ciblées peuvent se produire par le vol de mots de passe des utilisateurs. Ainsi, la mise en place de token ou de jeton unique pour accéder aux applications internes et externes a été une des solutions évoquées. Enfin, le dernier point bloquant évoqué est la confiance dans le prestataire choisit. Mais le Cloud Computing pourrait être l’occasion pour les équipes sécurités de se rapprocher des métiers.

Eric Domage

Adopter la « DLP Attitude » pour protéger les données critiques

La table animée par Eric Domage avait pour titre : Adopter la « DLP Attitude » pour protéger les données critiques. Les échanges ont montré que le concept de DLP était connu par tous les participants. Par contre, au vu des questions posées durant ses deux sessions, il semble que les éditeurs n’aient pas bien évangélisé le marché. Il est vrai que le DLP est apparu il y a environ deux ans pour relancer en premier lieu les éditeurs d’antivirus qui ont souvent monté des offres en rachetant des technologies ou des entreprises du domaine avec plus ou moins de bonheur. D’ailleurs, certaines offres pêchent par un manque de granularité, d’autres ne sont pas encore tout à fait complètes… Côté RSSI la difficulté est la classification des données et peut-être une pointe de découragement au vu de la tâche a effectuée. Selon Eric Domage, en France il y a un débat sur qui doit gérer les données à classifier. En Grande Bretagne on ne se pose pas ce genre de question. On a de plus dans ce pays mais comme dans la plupart des pays anglo-saxons des législations dissuasives qui ont permis de multiplier les déploiements. En France, on est donc face à la fois a un problème d’outil et d’organisation. A minima, les RSSI rebasculent le DLP sur la gestion des droits. Ils reconnaissent que le principe des PopUp est efficace en matière d’éducation des utilisateurs. Le déploiement nécessite la collaboration des différents services dont la RH, la qualité… Par contre, les RSSI reconnaissent que les alertes générées sont utiles en particulier pour le forensic. De même, les mini DLP proposés sont appréciés sans doute pour faire passer les budgets nécessaires. En effet, Eric Domage en conclusion montré qu’en principe il n’y a pas de budget pour le DLP, sauf en cas d’incident…

Non à la conformité à n’importe quel prix

Le rapporteur de la session sur la conformité a montré qu’il y avait plus approche de ce concept : réglementaire, concurrentielle, recherche d’une bonne pratique ou encore à la demande de clients. Il a rappelé rapidement les différentes réglementations en ce domaine : Bâle 2, PCI DSSI, LSF… Par contre, être conforme n’est pas un gage de sécurité, c’est plutôt une sorte de benchmark. Elle peut être aussi un bon moyen pour les RSSI d’obtenir des budgets et assainir le SI…

Philippe Courtot

Investir en temps de crise : oui mais comment ?

En temps, de crise il est facile de réduire les budgets mais plus difficile de choisir les domaines où investir constate Philippe Courtot. Le problème est de savoir présenter ses projets sur le volet de la gestion des risques. Ce RSSI explique que dans son entreprise il met sa direction générale face à ses responsabilités en montrant les risques encourus par rapport à l’investissement nécessaire. Toutefois, il déplore que la législation française dans ce domaine ne soit pas assez coercitive comme dans les pays anglo-saxons. Il est vrai que les amendes se limitent à 75.000 euros ce qui est négligeable pour un grand compte. Il a aussi expliqué que le RSSI doit être « polyglotte » pour avoir un discours adapté à chaque service afin de trouver des sponsors dans les métiers. Il est nécessaire aussi de structurer les projets et les budgets de façon à pouvoir les geler en cas de besoin. En revanche la certification en France n’est pas un critère de sélection. Les entreprises sont sans doute échaudées par les projets qualité… Pour conclure, le rapporteur de la session a conseillé de savoir surfer rapidement sur tous les incidents pour obtenir des budgets.

Quand l’informatique saborde la réputation de l’entreprise

Durant cette session, il a été question de l’impact sur l’image d’une entreprise de la menace interne et externe. Selon le rapporteur, cette menace a non seulement un effet négatif sur l’entreprise mais peut dans certain cas provoquer sa perte. Parmi, les attaques externes les plus redoutées il a été évoqué le défaçage de site web, le DDOS, les virus. La menace interne concerne l’erreur et l’acte volontaire, soit programmé soit suite à une frustration.
Les remèdes passent par des solutions techniques et la sensibilisation des utilisateurs et des super-utilisateurs (administrateurs) et la veille des actions des utilisateurs en particulier leur usage des réseaux sociaux…

La sensibilisation, une mission de chef d’orchestre

Le contenu de la sensibilisation reste encore le rappel des règles et l’usage d’outils adaptés qui évoluent en changeant de médias : passage de cassette aux CD ou aux web applications. La sensibilisation passe aujourd’hui par l’explication des objectifs des règles à mettre en œuvre. Il est clair que le RSSI doit être le chef d’orchestre de la sensibilisation en travaillant avec les métiers pour évaluer leur besoin. Il semble que suite à des campagnes de sensibilisations bien menées, les métiers et les collaborateurs soient demandeurs de compléments. Par contre, les RSSI ont déploré le manque d’initiative des métiers dans ce domaine.


Voir les articles précédents

    

Voir les articles suivants