Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Conférence IDC Sécurité : les nouveaux chantiers de la sécurité

février 2011 par Marc Jacob

La traditionnelle journée de la sécurité organisée par IDC a réuni à Paris plus d’une centaine de décideurs DSI, RSSI... autour du thème " les nouveaux chantiers de la sécurité ". Cet événement était sponsorisé par IBM, CA, Juniper, Websense et SFR Business Team.

Après la présentation d’Eric Domage, Directeur Etudes et conseil, sécurité d’IDC Europe, qui a dressé un état des lieux du marché français et européen de la sécurité, les présentations se sont succédées. Ainsi, on a pu écouter une conférence sur la compréhension et le traitement des risques liés à la sécurisation du cyberespace par Loïc Guézo, Security Service Area Manager d’IBM France.
Puis la sécurité du Cloud Computing a été abordée par Arnaud Gallut, Directeur des ventes de solutions de sécurité de CA Technologies ou de Florent Fortune, Directeur technique EMEA de Websense.
La sécurité des équipements mobiles n’a pas été oubliée avec les interventions de Bruno Durand, VP de Juniper Networks Europe du Sud et de Jean-Christophe Prévotat, responsable Marketing data et Sécurité de SFR Business team et d’Alain Robic VP Enterprise Secure Solutions & Service Cyber Security Center de Cassidian.
Côté juridique, Florence Bonnet, juriste en droits des affaires, a fait le point sur la directive 136 sur la notification des pertes de données et le point de vue de la CNIL qui a bien sûr un "œil bienveillant" sur cette directive qui protège les internautes.

Anne Lupfer a fait un point sur la norme 27005 qui couvre la gestion des risques en sécurité de l’information. Après un bref rappel sur le modèle ISO, elle a décrit le déroulement de l’utilisation de cette norme dans les entreprises.

Elle a insisté sur le fait que la sécurité repose sur trois principes : la confidentialité, l’intégrité et la disponibilité. La norme 27005 s’inscrit dans la roue de Deming « Plan Do Check Act ». Elle a rappelé les différentes étapes de son implémentation :

1) La phase de cartographie du contexte, périmètre objectif, stratégie…

2) L’identification des risques incluant l’ensemble des actifs, à commencer par les employés pour finir par les équipements

3) Estimation des risques, étape qui est couplée avec la précédente

4) Evaluation des risques qui est une étape de décision. Si les points ne sont pas satisfaisants, il faut revenir au point 1

5) Traitement des risques en fonction des priorités.

En parallèle, elle a rappelé qu’il faut prendre en compte des processus transverses : communication des risques et surveillance et réexamen des risques.

Anne Lupfer a dressé la liste des points forts de la norme ISO 27005. Pour elle, elle surpasse les méthodes Ebios ou Méhari dans la mesure où elle est « universelle » pour toutes les entreprises, puisque l’ISO est une norme utilisée dans le monde entier. C’est un processus itératif pour gérer les risques en fonction de ses moyens. Elle permet de s’améliorer à son rythme. C’est un processus transverse où il faut impliquer les métiers. Enfin, elle est adaptée aux autres méthodes de gestion des risques utilisées par les métiers.

Pour conclure la journée, un grand compte est venu témoigner en montrant qu’il pourra très bientôt juguler les fuites informations internes et du fait des prestataires externes, voire de pirates informatiques, avec l’outil de CA Technologie ArcotID. Ce produit permet une authentification forte à double facteur de la PKI… Il permet de verrouiller la connexion sur un PC déterminé. En effet, cette solution va lui permettre d’authentifier les utilisateurs et les PC associés tout en empêchant toute connexion des utilisateurs à partir de PC en situation de mobilité. Cet outil devrait être déployé sur l’ensemble de son parc d’ici la fin de l’année 2011.


Voir les articles précédents

    

Voir les articles suivants