Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Comment parvenir à la CyberSecurity pour garantir le business ?

décembre 2014 par Marc Jacob

A l’occasion de la signature d’une Joint-Venture avec la société Akerva, Alten a organisé une session de son évènement trimestriel « Alten Insight » sur le thème de la Cybsercurté. Lors de cette session l’objectif était de montrer que la cybersécurité pouvait permettre de garantir le business. Pour cela la société avait réuni autour de ces dirigeants un panel d’experts parmi lesquels Polyanna Bigle avocate au cabinet Bensousan, Mathieu Poujol, principal consultant de Pierre Audouin Consultant (PAC), Jean-Frédéric Karcher, directeur marketing de SFR et Cédric Tellier, directeur technique d’Arkeva.

Stéphane Ougier

En préambule, Stéphane Ougier, directeur exécutif d’Alten Technology France a présenté l’activité d’Alten en matière de Cybersecurité. Il a rappelé qu’Alten travaille depuis longtemps dans ce domaine via des partenariats avec en particulier Sagem Morpho pour le monde aérien, mais aussi de l’industrie.

Jean-François Guyomar Jean-François Guyomar, directeur exécutif d’Alten, Pôle SI, Réseaux et Telecom a présenté, pour sa part, la stratégie de son entreprise en matière de sécurité avec une offre dédiée. Ainsi il a annoncé la création d’une joint-venture avec Akerva. La spécialité d’Arkerva est la gouvernance et le pilotage de la Cybersecurité avec trois sujets l’IAM, la protection des donnes des systèmes avec des solutions de. Traçabilité et de chiffrement et la protection des flux et des infrastructures.

Mathieu Poujol

La cybersécurité c’est de l’assurance !

Mathieu Poujol, principal consultant de Pierre Audouin Consultant (PAC) a dressé un état des menaces. Pour lui l’IT suit les métiers, ainsi s’est ouverte, mais est devenue stratégique. De ce fait, de nouvelles menaces sont apparues. L’ère digitale créée de nouvelles opportunités, permet des avancées technologies… Toutefois des pirates et des corsaires sévices sur les réseaux et sont de plus en plus expérimentés. Il a rappelé que l’attaque de Sony a conduit a une perte d’image, une chute de la bourse, le remerciement du PDG. De l’époque et au final une perte de confiance. Dans le cas de Stuxnet Siemens dorénavant intègre la sécurité en tant que variable de qualité.

Il a présenté quelques données en particulier le fait que pour 44% des persones interrogé la sécurité est un obstacle a l’adoption du Cloud. Pour Mathieu Poujol l’impact des attaques coûtent de plus en plus chers. Toutefois les budgets en termes de sécurité ne suivent pas cette croissance. Pour lui il y a peu de différence entre les pays européens. Il y a des différences plus marquées avec les Etats-Unis, l’Estonie et Israël.

En France, le marché de la sécurité est constitué d’acteurs très divers avec des SSII, des cabinets de consultants, des opérateurs Telecom, des intégrateurs... Pour lui la Cybersecurité est une assurance. C’est donc de la gestion de risque. Elle est indissociable de l’activité de l’entreprise.

Des vulnérabilités toujours plus nombreuses

Les vulnérabilités sont de plus en plus nombreuses, en 2013 il y en avait 8.500 nouvelles répertoriées par IBM. Le problème est que les systèmes sont mal patchés même si les vulnérabilités les plus courantes sont faciles à corriger.

Mathieu Poujol estime que la Cybersecurité est une approche holistique, de la gestion de la donnée et des processus et une stratégie avant tous les aspects techniques et l’outillage.

Pour conclure, il a rappelé que l’aspect légal devient primordial. Il a aussi expliqué qu’il y a un problème de ressources avec en parallèle un marché qui mûri très vite. Les entreprises sont aussi face à de nouvelles menaces, il est nécessaire d’avoir une notion des attaques amont et donc de s’en protéger. Il faut utilise de nouvelles armes pour mieux se protéger comme le Big Data par exemple. Puis Mathieu Poujol a animé le débat qui s’en est suivi.

Polyanna Bigle, Jean-Frédéric Karcher et Cédric Tellier

Comment s’aligner sur la mise en conformité et les exigences métiers ?

Polyanna Bigle, avocate au cabinet Bensousan a rappelé que depuis 2001 avec la Convention de Budapest mais aussi en France avec la loi Godefrin qui date de 1981 la cybersécurité avait été mis en avant au niveau des Etats, aujourd’hui elle devient une priorité nationale dans bon nombres d’états. La Cybersecurité est un droit avec en plus des obligations sectorielles par exemple dans le milieu bancaire, hospitalier, du jeu en ligne, le secteur public... Elle a aussi mentionné les nombreuses normes et réglementation comme l’ISO 27001, le RGS.... qui l’encadrait.

Pour Jean-Frédéric Karcher, Head of Business Security Marketing, SFR Business dans les appels d’offres la sécurité est de plus en plus une des variables qui incluent souvent la provenance des solutions retenues mais aussi en fonction des recommandations de l’ANSSI. Toutefois, dans la réalité se sont le plus souvent les moins disant qui remportent ces appels d’offre.

Cédric Thellier, directeur technique d’Arkeva a décrit face a ces problématiques l’offre de son entreprise e ce domaine.

Comment justifier les investissements SSI auprès d’une direction générale ?

Polyanna Bigle a rappelé les obligations en matière de Cybsercurité avec particulier l’article 1384 aliéna 5 du code civil sur la responsabilité des dommages cause et l’article 121-1 du code pénal sur la responsabilité pénale des dirigeants mais aussi l’article 1383 du code civil pour le RSSI sur le volet de la négligence et le manque de communication aux dirigeants des problèmes de sécurité.

Jean-Jean-Frédéric Karcher explique que la sensibilisation des dirigeants passe par le Reporting au quotidien des flux de l’entreprise. Pour ce qui concerne la partie purement financière, il reçoit des demandes pour aider les entreprises à lisser mensuellement les budgets de sécurité.

Cédric Thellier explique que cette justification passe par la gestion de risque, mais elle doit être suivi par le test d’intrusion qui permet de donner des indicateurs mais aussi des preuves concrètes des risques réels. Il préconise de procéder a des tests d’intrusion réguliers de faire des audit d’architecture de programme... Et bien sûr d’intégrer la sécurité en amont dans les projets.

Comment m’être en œuvre des solutions techniques concrètes et focalisées sur la cible ?

Jean-Frédéric Karcher a pris l’exemple de la protection des flux dans son entreprise. Il préconise la prise en compte des flux dans les réseaux de l’opérateur et le déploiement d’outils spécifiques Firewall, anti-DDoS, SIEM... dans le data center du client.

Cédric Thellier explique qu’il a une vision agnostique des solutions de sécurité et propose à ses clients le meilleur des technologies en fonction des besoins des clients.

Comment piloter la Cybersecurité ?

Polyanna Bigle rappelle que pour piloter un projet de Cybersecurité, il faut définir les règles du jeu en élaborant une charte des systèmes d’information avec un volet particulier pour les administrateurs. Il faut aussi mettre en place dans les contrats de sous-traitance des obligations spécifiques en ce domaine. Elle propose aussi aux entreprises d’éditer un livret technique et un guide juridique afin de service de référence de la politique de sécurité de l’entreprise. Enfin elle recommande de mettre en place une PSSI, un guide des opérations de Contrôle et de Reporting et un code de l’entreprise.

Au final la garantie du business passe par une bonne hygiène de la sécurité aux termes de l’ANSSI….




Voir les articles précédents

    

Voir les articles suivants