Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Thierry Durand, Phorcys SAS : CSI, Retour vers le futur

novembre 2007 par Marc Jacob

Comme chaque année depuis 1973 l’institut dirigé par Robert Richardson, le « Computer Security Insitute » alias CSI, a fait converger tout ce que la planète compte de RSSI et autres experts en sécurité informatique et de l’information … et qui pouvaient répondre à cette invitation.

A quelques pas du « Pentagon » ce dimanche 4 novembre, l’hôtel Hyatt de Cristal city à Arlington ouvre son espace de conférence à près de 2000 experts bien décidés à découvrir, à confronter leurs expériences et leurs points de vue, à toucher du doigt des solutions innovantes, à rencontrer ceux qui savent et vont parler … mais pour le moment, place aux formalités d’enregistrement et au cocktail de bienvenue. C’est l’occasion d’un premier contact avec les « exhibitors » !

Les « exhibitors » sont venus montrer, démontrer et expliquer leurs produits innovants. Huit sociétés coréennes se sont jointes cette année à 61 compagnies américaines pour animer cette truculente foire à la sécurité informatique. L’espace y est compté, le coca et le vin de Californie coulent à flots pour faire passer ce sur quoi l’Amérique n’a jamais réussi à surpasser les français, les ‘petits fours’ ; ceux là sont un peu secs. Pour l’heure les « exhibitors » ne se contentent pas de tenir les buffets, ils ont déjà parés leurs stands de tout ce qui se fait en matière de « gadgets », stylos clignotant, supports de table pour téléphone mobile, blocs de papier, ballons ovales … de football américain bien sûr, etc. Et tout cela ne suffit pas à accrocher le chaland alors des loteries, des jeux d’astuces ou de mémoire et de nombreux lots complètent le décor. Et pour finir, pour que chaque stand soit sûr d’être visité, chacun y fait tamponner sa carte comme le cycliste en haut du col ; dument tamponné ce « passport to prizes » départagera les gagnants lors de la super loterie finale.

Definitively Arlington VA est bien aux Etats Unis d’Amérique … as well !
Si les américains ont su garder leur âme d’enfant ils n’en sont pas moins de vrais et de grands professionnels ; c’est ce que les jours suivants ont permis de mesurer.

Les « exhibitors » ne sont pas venus les mains vides ! Pas moins de 17 nouveaux produits sont présentés en « première mondiale » ( !?) à Arlington :
• Formation « On line SASBA et CISM » par ALC Training
• Alert Logic Log Manager exploite en temps réel toutes sortes de LOG par Alert Logic
• Guardit 2.0 est une solution DRM par Arxan Technologies
• The Enterprise Dot traque les pirates du WIFI par Axcess International Inc
• Q3i porte la cryptographie sur les bandes par BOSaNOVA Inc
• WebDefend V3.0 le FireWall qui va plus loin dans l’application par Breach Security Inc
• New Cross-Platform Security & Compliance Auditing par Bsafe Information Systems
• Pointsec chiffre les données « mobiles » par Check Point Software Technologies
• Cim Trak protège les serveurs par Cimcor Inc
• ViscCat prévient les Cyber Atacks en temps réel par ETRI
• ESOS protège les réseaux de la plupart des attaques par ETRI
• RoadMASSter3 récupère des données de disques durs par Intelligent Computer Solutions Inc
• NetIQ Change Guardian for Windows détecte les droits trop larges par NetIQ Corporation
• NextGen analyse et compile les traces réseaux par NetWitness
• PA-4000 est un FireWall de nouvelle génération par Palo Alto Networks
• Mail-i assure toute la sécurité des mails par SOMANSA
• SSL VPN est maintenant disponible sur StoneGate Product Line par Stonesoft Inc

CSI non plus n’est pas venu les mains vides. L’institut présente sa 12ème enquête annuelle « Computer Crime and Security ». Comme chaque année l’enquête est riche d’enseignements sur les incidents de sécurité, leurs origines et leurs cibles. En une trentaine de pages et de graphes la mécanique est décortiquée et mise à plat : les budgets sécurité hier très divers d’une entreprise à l’autre se recentrent sur 3 à 5% du budget des DSI. Les entreprises déclarent connaître mieux les incidents dont elles sont les victimes et voient ce nombre augmenter sensiblement d’une année sur l’autre. Les pertes les plus importantes restent celles dues à la fraude financière (21 millions de dollars), loin devant les virus (8 millions de dollars) et les accès frauduleux de l’extérieur (7 millions de dollars).

Le coup d’envoi est donné ! Plus de 100 conférences variant de 1h à 1h15, animées par 116 « speakers » vont maintenant se succéder sans relâche ou presque 22 heures durant du lundi au mercredi.
Quatre icônes qualifient le « niveau technique » de chaque conférence : Management, Management expert, Technique pour non technicien, Technique avancée. Chacun établit son emploi du temps et repère, comme pour un rallye, les étapes qu’il lui faudra rejoindre, les salles qu’il devra découvrir.

Personne, même pas le « CSI » organisateur, ne saurait établir un compte rendu exhaustif de l’ensemble des propos tenus lors de ce congrès. Un CD-Rom regroupe les présentations « délivrées à temps » selon la formule consacrée ; mais qu’est-ce qu’une présentation sans son présentateur, qu’est ce qu’une énumération de points sans le discours qu’ils doivent éclairer ? Alors quoi ? Fallait-il en arriver là pour frustrer tous ceux qui ne sont pas venus … et qui ne sauront donc rien ? Une synthèse … oui, une synthèse des propos, des tendances présentées ou redoutées, quelques scoops ou révélations, voilà qui vaudra bien mieux dans ces lignes qu’un catalogue de conférences et de produits.

De quoi a-t’on parlé ? de tout … des applications et des équipements de sécurisation, des outils de mesure et de trace, de sensibilisation et de formation, de carrière et de stratégie, de législation et de réglementation, de gestion des incidents, de menaces émergentes, d‘analyse de risques de normes et de tableaux de bord, … de tout !
Trois jours de conférences ont permis à trois notoriétés d’exprimer en assemblée plénière un point de vue précis sur des sujets qui méritent du recul, les « key notes » :
Jim Christy, directeur du « Futures Explorations, Defense Cyber Crime Center », a fait part de son expérience en matière de cybercriminalité. Il a développé des techniques permettant des investigations jusqu’alors impossibles ! Il lit les données présentes sur les morceaux d’un disque dur en miettes, il retrouve les informations inscrites sur des lambeaux de bandes magnétiques étirées, déchirées et froissées. Il met en œuvre tout ce que la technique permet pour apporter à la justice des éléments de preuve établie sur des bases que l’on croyait détruites ! Il tente de repousser chaque jour les limites de ses investigations. Il se nourrit des règlements et des lois pour orienter le plus efficacement ses recherches et déplore que ces textes soient parfois contradictoires …

Kim Cameron est l’architecte Microsoft spécialiste de la gestion des identités et des accès. Il a montré en quoi l’approche « Passport » de Microsoft est un échec, même si elle est employée par plusieurs millions de personnes aujourd’hui ; elle n’a pas dépassé les frontières de l’Active Directory (MS-AD) là où on lui avait assigné la mission de devenir le creuset d’une identité universelle ! Aujourd’hui, sous l’impulsion de Kim Cameron, Microsoft s’est engagé dans l’espace carte (CARDSPACE). Analysant les raisons de l’échec consommé et retenant que chacun doit être libre de « se » présenter sous une identité choisie et adaptée à chaque situation, Microsoft propose un espace au sein duquel chaque personne dispose d’un ensemble de cartes, chacune adaptée à une situation spécifique choisie par elle. Chaque carte, présentée sur l’écran sous la forme d’une image ne contient en elle même aucune information d’identité mais pointe vers les multiples annuaires où sont conservées de manières parcellaire chaque bride de l’identité qu’elle représente. Ce concept novateur est disponible sur Windows Vista.

Window Snyder est une transfuge de Microsoft chez Mozilla Corporation. Elle s’y est vue confier le titre de « Chief Security Something-or-Other ». Elle défend dans son intervention les qualités de son navigateur « open source » et, plus encore, de la relation établie entre les développeurs et le public. Chaque évolution du produit est soumise, la nuit suivante, à quelques centaines de testeurs volontaires puis, présentée à quelques milliers de beta-testeurs et enfin distribuée à quelques millions d’usagers … Un « scoop » ! Elle dévoile que certains éditeurs ( ?) ne corrigent que les seules vulnérabilités découvertes à l’extérieur de leurs labos… Les autres, celles qui ne sont pas censées être connues, ne sont corrigées qu’avec les releases et versions du produit ! Moralité, longue attente avant correction, probabilité forte que tous les usagers n’appliqueront pas la correction avant plusieurs années et … dans la plupart des cas, corrections payantes avec la release.

Que dire des autres conférences ?
Evangelista est sous pression, pas une minute à perdre, les conférences redémarrent dans une minute ! Son prénom fièrement épinglé à la pochette de son uniforme bordeaux, elle arpente les couloirs avec des chariots de chaises complémentaires qu’elle délivre aux candidats impatients d’écouter quelques conférences très prisées ! C’est que les salles sont toutes équipées pour le même nombre mais que toutes les conférences n’ont pas le même attrait ! Sans Evangelista ils seraient restés debout !
Mais quelles sont ces conférences qui font tant courir Evangelista ?
Peut être ces deux titres qui sonnent comme des accroches commerciales :
où Bruce BRODY, vice président « information assurance » démontre que certaines démarches « paper based » font plus de torts que de bien,
et encore

où les époux Lynette et Joson KOBES du Northrop Grumman Information Technology tentent de montrer qu’il ne faut pas s’arrêter à la production de documents et de procédures et que l’essentiel est dans le management du système qui est bien mal enseigné et surtout bien mal compris !
Mais n’y a-t’il que les accroches commerciales qui mobilisent le public américain ? Non, et à y regarder de plus près le constat s’impose vite : les conférences « management » sont beaucoup plus écoutées que les conférences « techniques » ! Serait-ce que la technique se pratique plus qu’elle ne se narre, à la différence du concept qui prête plus naturellement son fil à l’orateur ? Peut être, mais cette évidence ne suffit pas à elle seule à expliquer cet écart.

La « bonne nouvelle » c’est qu’après avoir enseigné le management par la qualité dans les années 80 l’Amérique découvre aujourd’hui les vertus du management de la sécurité ; il semble que les chocs qu’elle a du surmonter d’Enron au 11 septembre et les remèdes qu’elle s’est elle-même infligée avant de les imposer au reste du monde ont ébranlé la certitude qui l’avait propulsée sur la lune : « la technique peut tout » ! A force de « Sarbanne Oxley » on fini par y trouver aussi un avantage.
Nombre de conférences ont tenté de « dédramatiser » la « compliance », c’est-à-dire le respect des règlements hier encore rejetés ou appliqués « à reculons mais le dos au mur ». Quelques rares conférences ont rappelé que l’application d’ISO/IEC 27001 simplifiait grandement le respect de toutes les autres réglementations et une attention toute particulière a été portée sur l’intérêt du système de management (ISMS) de cette norme, là où de nombreuses entreprises n’ont utilisé que le catalogue de mesures issu de la BS7799-1 maintenant reconnu en ISO/IEC 27002.
La conférence de Yves Leroux – CA France – « European Regulatory Initiatives – Financial Sector » a en particulier permis de faire un point très précis et très pratique sur les règlements européens que toute entreprise doit suivre pour y élargir son marché. Il y met en évidence des écarts apparemment impossibles à conjuguer mais présente un tableau de synthèse utile et salué par son public américain… une sorte de quadrature du cercle.

La sensibilisation des utilisateurs est un point majeur de cet éveil. Plusieurs conférences ont proposé des démarches appropriées. Celle de K. Rudolph, fondatrice et présidente de « Native Intelligence Inc. » est très pragmatique et accessible. Elle l’a présente en « 7 secrets pour sensibiliser à la sécurité ». Elle applique sa démarche au cours de son intervention en animant une participation très active des auditeurs qu’elle retient avec de multiples gadgets qu’elle offre à chaque bonne réponse… mais ne nous y trompons pas, ces « gadgets » sont tous des « outils » de sensibilisation qu’elle délivre avec sa méthode.
Un lien fort a été montré par plusieurs orateurs entre la sécurité physique et la sécurité logique. Les démonstrations utilisées, même si elles empruntent des voies variées, sont toutes orchestrées sur le même constat : en prenant du recul par rapport à la technique et en élargissant le point de vue aux véritables préoccupations de l’entreprise de ses dirigeants et de ses actionnaires, on se doit de réunir ces deux aspects du traitement des risques opérationnels au sein du même outil, du même système de management. Si COBIT ou ITIL, pour ne citer qu’eux, ne paraissent pas nativement destinés à ce rapprochement, il semble par contre très naturel aux orateurs qui ont relu la norme ISO/IEC 27001. A recommander le fascicule du cabinet Deloitte intitulé « The Convergence of Physical and Information Security in the Context of Enterprise Risk Management ».

Quelques méthodologies ont été présentées à destination des entreprises dont les dirigeants restent insensibles à ces vérités révélées… Elles sont toutes axées sur la nécessité de parler « leur » langage et non celui de la sécurité. Dans le même temps elles démontrent toutes que le RSSI ne peut plus ne pas s’inviter auprès de la direction générale. La sécurité « physique et logique », parce qu’elle concoure à la réduction du risque opérationnel devient un élément majeur de la gouvernance des entreprises. Le RSSI devra apprendre une nouvelle langue, celle de l’Entreprise !
Au fond, est-ce que l’Amérique ne découvre pas là le profil de son nouveau RSSI ?

En termes de conclusion une équation semble s’imposer :
Convergence physique et logique + Management + Sensibilisation = Gouvernance
N’est-ce pas le plus prometteur des « retours vers le futur » pour une science, la sécurité, qui avait été imposée par les directions générales à leurs DSI il y a à peine un quart de siècle et qu’elles doivent de nouveau se réapproprier ?
La prochaine conférence annuelle CSI aura lieu a Arlignton – VA du 15 au 21 novembre 2008
Rendez-vous sur le site CSIannual.com


1 Thierry DURAND est PDG et créateur de la société « Phorcys SAS » qui propose d’accompagner ses clients pour la mise en œuvre et l’audit de système de management de la sécurité (SMSI / ISO-IEC 27001) et aussi de ses composants gestion des identités et tableaux de bord.

2 FISMA : Federal Information Security Management Act, exigences de sécurité pour les entreprises fédérales

3 « Le prix de l’excellence » de Tom Peters et Robert Waterman, alors consultants chez McKinsey

4 Cheryl Jackson – HP – “Leveraging ISO 27001 for One-pass Assessments”
Robert B Batie Jr – Infosys – « Real Security : managing IT Risk to Optimize Business Results »par exemple

5 Ron Hale – ISACA - Information Systems Audit and Control Association

6 Ron Moritz – MTC – « Communicting Security to the Boardroom »
Bernadette Castilho Petrobas – “Don’t Delegate the Risk Management Process” par exemple

7 RSSI - Responsable de la Sécurité des Systèmes d’Information


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants