Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Impact de la crise : Contrez les coups en contrôlant vos coûts !

mars 2009 par Marc Jacob

« Impact de la crise sur les investissement de sécurité en 2009 ? » Tel était le thème du débat organisé par le Cercle de la Sécurité à Lyon animé par Mauro Israël. L’objectif de cette conférence à laquelle ont participé deux RSSI et Eric Domage, Program Manager European Security Product & Strategies d’IDC, n’était pas de se lamenter sur la situation mais plutôt de trouver des pistes de réflexion pour positiver la crise.

Eric Domage a conclu son intervention en donnant quelques conseils :

Vous pouvez reprendre le contrôle de la sécurité en vous appuyant sur le SaaS, le DLP, EPS.

Vous devez commencer à parler de RoI et TCO.

Vous devez continuer de migrer vers une sécurité pro-active.

Enfin, n’oubliez pas de penser à la menace interne.

Mauro Israël

Mauro Israël a lancé le débat par un : « Contrez les coups en contrôlant vos coûts ! »

Il a rappelé que pour protéger les SI il fallait mettre en place une défense en profondeur. En effet, la défense périmétrique n’est plus suffisante du fait des utilisateurs qui doivent être connectés en permanence au SI de quelque endroit qu’ils se trouvent. Les pirates utilisent toutes les technologies pour arriver à leurs fins. Ainsi, la protection des données devient une priorité. Effectivement, reprend ce RSSI d’une institution financière. Le budget du DLP et le cryptage des données a tendance à croître : « mais la garde ne doit pas être baissée sur l’ensemble des problématique de la sécurité. » Pour ce DSI d’une administration, il n’est pas question de sacrifier la sécurité. Il préfère différer d’autres investissements comme par exemple le renouvellement de commutateurs. Pour lui, la conformité n’étant pas directement de la sécurité donc pas directement indispensable, elle passe donc en second plan : « quand on voit que des entreprises réputées conformes ont eu des problèmes de sécurité, on comprendra mon point de vue... » conclut-il

Virtualisation oui, mais pas sans sécurité

Pour ce qui concerne la virtualisation qui est une source d’économie importante, quasiment tout le monde était d’accord sur la nécessité de penser à la sécurité en amont. En effet, elle ajoute de nouvelles vulnérabilités en particulier du fait des attaques que les hyperviseurs et des possibilités de rebond sur d’autres machines vituelles ou physiques source de contagions de tout le SI. Toutefois, ce DSI d’une administration estime que la virtualisation est intéressante en termes de résilience et de patching grâce aux possibilités de retour en cas de problème. Par contre, il faut « inviter la sécurité à ce bal ! » Ce RSSI d’une institution financière estime que si on a bien sécurisé son SI les machines virtuelles devraient être protégées… Donc ces technologies, selon lui, ne devraient pas trop faire courir de risques supplémentaires. Pour Mauro Israël il est possible de virtualiser la sécurité ainsi Check Point avec sa nouvelle offre propose des solutions.

Le SaaS bon outil pour tester de nouvelles technologies…

Quand au SaaS, cette technologie est particulièrement séduisante pour les DAF car elle est prévisible en termes de coût. Ce RSSI d’une institution financière estime qu’à l’occasion d’un renouvellement de licences le SaaS est à prendre en compte. Elle offre la possibilité de soulager les équipes des tâches répétitives comme la mise à jour de l’antivirus… Il peut aussi être intéressant pour tester de nouvelles technologies. Toutefois, pour ce DSI d’une administration, le SaaS n’est pas dans sa culture d’entreprise. Toutefois, il reconnait que cette technologie peut être intéressante dans le cadre d’apprentissage de nouvelles technologies et aider à passer des situations de crise où l’investissement est réduit.

La sécurité dans « les nuages » les craintes persistent même si l’intérêt est croissant…

Le Cloud Computing permet des économies importantes car on utilise de l’ADSL au lieu de liaisons privées, un webmail… Ce DSI d’une administration ne croît pas à ces technologie car selon ses dires elles ressemblent trop aux « SubPrime »… Pour ce second RSSI d’une institution financière les sources d’économies ne sont pas évidentes car ses maîtrises d’ouvrage et d’œuvre vont devoir rajouter des briques d’applications internes. Donc, elle risque de rajouter un noyau supplémentaire à gérer. Toutefois, il croît à leur développement. « Si e s éditeurs d’IAM développent des connecteurs pour améliorer la sécurité ce peut-être de bonnes technologies ». Un RSSI dans la salle explique qu’il s’appuie sur le Web 2.0 pour intégrer du Web Service et déployer ses applications dans toutes ses filiales en Europe.

Pour tous les intervenants la sécurisation du poste nomade est devenue un impératif en particulier par des solutions de cryptages des données, des disques… Bien sûr la sensibilisation des utilisateurs est primordiale. Il a été recommandé de faire des formations ciblées en fonction des catégories de salariés : les administrateurs, les VIP, les développeurs… Enfin, il est important de développer des métriques pour mesurer les résultats des actions menées dans le domaine de la sécurisation des SI. Ces métriques doivent être adaptés aux populations qu’ils adressent.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants