Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kurt Roemer, Edouard Lorrain, Citrix : "Adopter les règles du PCI DSS est une question de bon sens !"

janvier 2008 par Emmanuelle Lamandé

Mettre en relation l’utilisateur avec les informations dont il a besoin, quand il en a besoin, où il en a besoin, de la façon la plus simple et la plus sécurisée possible… Pour Citrix, la virtualisation des applications apporte une réponse aux besoins de mobilité et de sécurité, mais également aux problématiques de déploiements massifs, totalement affranchies des postes de travail et du réseau. Kurt Roemer, Chief Security Strategist - Citrix, et Edouard Lorrain, Business Development Manager Southern Europe – Citrix, nous présentent leur nouvelle stratégie et rentrent au cœur d’un sujet très polémique : le standard PCI DSS (Payment Card Industry Data Security Standard).

Global Security Mag : Pouvez-vous nous présenter votre offre ?

Kurt Roemer et Edouard Lorrain : En quelques années, les entreprises sont devenues plus souples, plus mobiles, plus étendues. Pour permettre aux clients de rester concentrés sur leur cœur de métier, Citrix répond aux besoins de flexibilité du système d’information, permettant des accès de plus en plus nombreux et complexes aux ressources, dans un contexte d’hétérogénéité forte des infrastructures et des applications.

Aujourd’hui, l’application est au cœur du système d’information. L’infrastructure Citrix met à disposition des utilisateurs leurs applications (Application Delivery), les contrôle (Application Visibility), les sécurise (Application Security) et les optimise (Application Performance).

L’Application Delivery permet d’assurer la continuité de l’activité en cas de sinistre. Les solutions Citrix garantissent aux utilisateurs l’accès aux ressources dont ils ont besoin en cas d’indisponibilité de leur bureau. L’Application Delivery permet également de sécuriser les données, contre les attaques qu’elles proviennent de l’extérieur ou de l’intérieur, d’intégrer les postes de travail virtuels à une stratégie globale de gestion des postes de travail. Les postes de travail virtuels amènent aujourd’hui une réflexion importante, à la fois sur la sécurité et sur les coûts du matériel et de la maintenance.

Créer un monde où tout le monde pourrait travailler de n’importe où

GS Mag : Actuellement, quels sont les principaux besoins identifiés en entreprises ?

Kurt Roemer et Edouard Lorrain : Le monde change et les besoins de l’entreprise évoluent radicalement sous les effets de 5 facteurs majeurs jouant un rôle moteur dans le monde dynamique d’aujourd’hui :
- la globalisation : pouvoir travailler là où on est le plus efficace et le plus productif,
- les interruptions d’activité : les catastrophes naturelles de toutes sortes sont susceptibles d’obliger les travailleurs à se déplacer,
- la consolidation, que ce soit au niveau des industries ou des entreprises,
- la régulation, au travers de nouvelles réglementations mises en place par les gouvernements,
- une nouvelle génération de travailleurs et de consommateurs qui veulent maîtriser leur informatique.

L’entreprise doit totalement repenser la manière dont elle délivre les applications. Elle doit impérativement cesser de coder l’accès aux applications, du fait de l’émergence d’une variété sans cesse croissante de scénarios d’accès. L’entreprise a besoin d’optimiser la mise à disposition de ses applications au profit de n’importe quel scénario d’accès. Elle a besoin d’un réseau dynamique, capable de déterminer de manière intelligente la façon optimale de mettre à disposition une application donnée.

GS Mag : Quels sont les principaux apports de la virtualisation ?

Kurt Roemer et Edouard Lorrain : Le rachat de XenSource, finalisé en octobre 2007, nous a apporté la virtualisation des postes de travail, des serveurs, des applications. Pour Citrix, la virtualisation des applications apporte une réponse aux besoins de mobilité et de sécurité, mais également aux problématiques de déploiements massifs, totalement décorrélées des postes de travail et du réseau. La connexion peut se faire aux différentes applications de n’importe quel endroit. Tout se trouve sur des serveurs au sein des datacenters. De plus, chaque entreprise peut définir ce que les utilisateurs ont le droit ou non de faire.

La sécurité des applications, de leur accès est un véritable problème actuellement. Comment pouvez-vous manager quelque chose que vous ne contrôlez pas ? La virtualisation des applications assure un niveau d’indépendance vis-à-vis du poste. Depuis 2007, nous apportons la virtualisation du poste de travail et des serveurs. L’entreprise manage les informations auxquelles l’utilisateur peut accéder. Si je perds mon laptop, je n’ai plus à m’inquiéter. Il y a une différence entre la partie privée de mon ordinateur et les applications professionnelles. La virtualisation apporte une séparation entre le physique et le virtuel. Grâce à elle, vous pouvez facilement délivrer aux utilisateurs uniquement ce dont ils ont besoin. Aujourd’hui, la virtualisation procure différentes options, on peut faire de nouvelles choses. La virtualisation est en train de changer le modèle IT.

Les organisations ne doivent pas lutter contre le standard PCI DSS

GS Mag : En quoi la conformité au standard PCI DSS vous paraît-elle bénéfique pour les entreprises ?

Kurt Roemer et Edouard Lorrain : Le standard PCI DSS repose sur douze obligations qui sont simples pour les entreprises, et ce qu’elle que soit leur taille. Tout le monde devrait l’avoir. Ce standard fait sens pour tout le monde. C’est un bon moyen de protéger les informations bancaires. Les entreprises qui sont conformes reçoivent la certification.

GS Mag : Quels sont, pour le moment, les principaux écueils de ce standard ?

Kurt Roemer : Le principal problème pour être conforme à ce type de standard est lié à son adaptation à tous les types de compagnies. Quatre niveaux différents existent. Selon la taille la taille de l’entreprise, les impératifs ne sont pas les mêmes. Ce standard se focalise plus sur les 2 premiers niveaux. Le problème provient également des sociétés d’audit qui grossissent les prix.

GS Mag : Le système n’en est pas pour autant invulnérable ! Qui est responsable en cas de problème ?

Kurt Roemer : En effet, le PCI n’est pas parfait ; il est toutefois important pour les transactions sensibles. Aux USA et au Royaume-Uni, une entreprise est contrainte d’en faire part en cas d’attaque. Nous travaillons tous avec les mêmes organisations. Cependant, les obligations sont différentes selon les parties du monde avec lesquelles nous travaillons. Mais déclarées ou non, les pertes sont énormes et coûtent très chères aux entreprises, d’où l’intérêt de cette conformité.

Aux Etats-Unis, il est extrêmement facile de copier les cartes bancaires. Pour acheter quelque chose, vous avez uniquement besoin du numéro de transaction et non du numéro de carte. Avec un système de tiers de confiance, le vendeur n’a pas accès au numéro de carte. Si l’organisme tiers est conforme, cela suffit.

GS Mag : Quelle entité orchestre ce système ? Ne va-t-on pas vers un monopole de Visa et MasterCard ?

Kurt Roemer : La console PCI est séparée de Visa et Master pour éviter les écueils de pouvoir. Le comité PCI DSS est donc supposé être indépendant de Visa et de MasterCard. C’est une entité à part. Il est nécessaire d’obtenir l’agrément de ce comité. Visa et MasterCard n’ont pas leur mot à dire à ce sujet.

GS Mag : Les rôles des RSSI et DSI sont-ils amenés à changer dans un tel système ?

Kurt Roemer : Le changement des responsables sécurité dépendra de l’entreprise et de son organisation. Le CSO a un rôle important au sein de l’entreprise. Le CEO sera moins en charge de gérer ce qui touche à l’infrastructure informatique mais c’est quand même lui qui décide de ce qui doit ou non être fait au sein de l’entreprise, mais aussi de définir quelles sont les informations sensibles.

GS Mag : Certaines réticences proviennent du fait que le système de la carte bleue fonctionne bien en France, alors pourquoi en changer et dépenser de l’argent ? Qu’en pensez-vous ?

Kurt Roemer et Edouard Lorrain : Il n’est pas question de changements, pour les clients Citrix en tous cas. En effet, ces derniers n’ont rien besoin de changer puisqu’ils sont déjà conformes aux réglementations PCI de par l’infrastructure Citrix. Ils n’ont pas besoin de dépenser de l’argent car ils répondent déjà aux douze réglementations du PCI. Ils sont sécurisés de fait. Par nature, les sociétés qui possèdent une infrastructure Citrix sont conformes à cette norme.

GS Mag : Quels sont vos objectifs pour 2008 ?

Kurt Roemer et Edouard Lorrain : Aujourd’hui, les gens changent plus facilement de façon de travailler qu’avant. A l’heure actuelle, plus de 50% des PC vendus en France sont des laptops. Les données qu’ils contiennent sont fondamentales pour une entreprise, pourtant les hackers arrivent à copier ces informations sans même que l’utilisateur ne s’en rende compte. Avec Citrix, les données ne se trouvent pas sur le laptop mais dans le datacenter, donc si vous perdez votre laptop ce n’est pas important. Le contrôle d’accès des laptops est rendu plus facile grâce à la virtualisation.

Nous allons continuer à développer la sécurité applicative. Nous avons de riches infrastructures en place. La virtualisation des applications Web est au programme 2008, mais également la virtualisation du poste de travail. Il n’existe pas une technologie qui va répondre à tous les besoins, d’où notre portfolio.

Le management est nécessaire pour une plus grande sécurité. Il s’agit de délivrer un véritable service à l’utilisateur, de lui mettre à disposition les applications qui lui sont nécessaires. La question est de savoir si tel utilisateur a vraiment besoin de telle ou telle application. Les utilisateurs sont complexes, c’est pourquoi nous proposons différents scénarios d’accès. En fonction de la façon dont vous allez vous connecter, vous aurez plus ou moins de droits. L’accès aux applications est donc granulaire. Les droits ne seront pas les mêmes si vous êtes dans un cybercafé, à l’aéroport, chez vous,…

L’objectif permanent est d’alléger l’utilisateur en termes de sécurité, de simplicité et de flexibilité. Il faut, en effet, gérer la sécurité et la flexibilité pour l’utilisateur de la meilleure façon qui soit. Nous sommes passés de l’étape « déployer les applications » à celle de « délivrer les applications ».

GS Mag : Quel message souhaiteriez-vous faire passer aux français en ce qui concerne la réglementation PCI DSS ?

Kurt Roemer : Adopter les règles du PCI DSS est une question de bon sens.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants