dimanche 24 mai 2020    || Inscription
BanniereNews
 
 
La rationalisation des investissements et le développement de solutions innovantes pour gérer la sécurité ont été au cœur de la conférence organisée le 5 février dernier au Cercle National des Armées par IDC France, avec comme partenaire presse notamment Mag Securs.

En préambule, Didier Krainc, directeur général d´IDC France, a introduit la conférence en insistant malheureusement sur la disparition de la croissance à deux chiffres dans le domaine de la sécurité. Par contre, les acteurs contactés par IDC possèdent à 58% un projet à court terme, et à 20% un projet à long terme. La situation n´est donc pas totalement désespérée et la sécurité devrait sortir son épingle du jeu.

Vers une vision optimiste de la sécurité des SI ?

Eric Domage, bouillant Directeur Etudes et Conseil chez IDC Europe, a ensuite donné sa vision sur le marché français et européen des solutions de sécurité, avec un état des lieux et des tendances 2009-2012. Une vision qui n´est pas si pessimiste que cela, puisque, même si le secteur IT a connu une croissance de 0,1% en 2008 « la croissance dans le domaine informatique est là, et il n´y aura pas de décroissance dans ce secteur ». Selon Eric Domage, le Saas (Security as a service) va connaître un fort développement, de même que les projets IAM, la cryptographie et la sécurité du contenu, le DLP (Data Leak Prevention) et la signature électronique.
Les mouvements de fond sont les suivants :
- C´est la fin du budget no limit, et les RSSI doivent s´habituer à travailler avec des directeurs financiers sur le dos.
- Les conditions de négociations sont excellentes pour les acheteurs.
- Les calculs de ROI et de TCO sont à l´honneur.
- En cas de crise, dans le domaine de l´innovation, il faut privilégier les valeurs refuges.
- Les projets sont subis par la sécurité : les fournisseurs sont-il prêts ?
- Il va y avoir plus de réglementation
- On n´imagine pas de se passer de sécurité : il y aura une reprise du secteur vers 2010-2011.
Selon lui, c´est le moment de mettre la pression sur les offreurs, de négocier des extensions de licence, d´exiger plus de service, de profiter de l´éclosion du Saas.

Il se penche ensuite sur l´éternel maillon faible de la sécurité, l´utilisateur, « qui est dans une fonction d´ubiquïté difficile à contrôler. C´est à la fois un atout de sécurité, et un moteur de risque, qui ignore ou méprise le risque IT, se répand sur Facebook et préfère le confort d´utilisation à la bonne sécurité »


Le DSI est un équilibriste


C´est ensuite au tour de Loïc Guezo, responsable des offres Internet Security Services chez IBM et Nicolas Tailhardat, responsable information protection services dans l´entité Business Continuity et Resiliency Services, IBM, de présenter le service managé. Selon eux, le DSI est un équilibriste qui doit prendre en compte une composante risque, complexité et coûts dans sa fonction, avec une zone de risque qui est inacceptable. La solution réside pour eux dans le Saas (Security as a service), avec une première brique de solutions contenus dans des services managés de sécurité. IBM possède 8 centres opérationnels de sécurité avec une capacité 24/7, et un taux de découverte de vulnérabilités supérieur à 50%, grâce à X Force, une plate-forme de supervision. IBM offre en 2009 deux types de services : le Managed Security Service, et le Security Enablement Service, qui sont des systèmes de surveillance 24/7. IBM propose aussi une offre de gestion IAM, et se positionne en 2009. Les solutions retenues permettent un ROI de 55% par rapport à une solution interne.
Concernant les données, Loïc Guezo et Nicolas Tailhardat tablent sur une croissance des données de 30 à 50% par an. Le plus souvent, les sauvegardes et les protections sont non fiables, car opérées manuellement. 70% des données sont créées par l´individu, et l´entreprise est responsable de la protection des données. Il faut que la solution soit évoquée au sein d´une équipe de direction, et ce sont des projets complexes à mettre en œuvre. Il y a un taux d´échec de 15% des sauvegardes, et IBM souhaite le rendre inférieur à 1%, avec des solutions end to end. IBM peut rapidement déployer une solution avec un centre de protection 24/7, qui propose un suivi d´indicateur qualité au quotidien et un reporting mensuel, idéal pour une approche de TCO. Un exemple client de consolidation et de virtualisation donne une économie réalisée de l´ordre de 20%.

Le difficile équilibre entre sentiment de sécurité et réduction des coûts

La session plenière suivante s´est attachée à la GRC (Governance, Risk and Compliance) : difficile équilibre entre sentiment de sécurité et de réduction des coûts. Elle a été menée par Cyril Gollain, architecte sécurité – consulting, Oracle, et Christophe Bonenfant, directeur commercial IAM, Oracle. La gestion des identités, le décisionnel et la Business Intelligence sont des fragments de la gestion de sécurité. Il y a une suite de gestion d´identités Oracle (BI Publisher). Le reporting est vu comme une composante maîtresse de la gestion des identités. Les données de sécurité deviennent des actifs de l´entreprise.
Un exemple est donné sur un extranet client : il a fallu ajuster dynamiquement son niveau de sécurité au niveau du risque. Oracle a mis au point une solution qui s´appelle Oracle Adaptative Access Manager, qui fait de l´analyse comportementale, avec des modèles de comportement à risques. Oracle cite un cas client, celui d´une institution financière avec un cas limite d´exposition de trader sur le desk. Chez Oracle, 1.100 développeurs sont dédiés à la sécurité, qui reçoit 10% des investissements en ressources. Oracle se penche sur le DLP et ses perspectives de développement.

Christophe Bianco, directeur des Ventes Europe Continentale de Verizon Business, a insisté sur le fait que Verizon Business, avec Cybertrust, fabriquait notamment la carte d´identité belge et le passeport luxembourgeois. Chez Verizon Business, l´activité liée aux cartes de crédit est très importante, notamment avec des certificats d´antivirus. Selon lui, le RSSI dans l´entreprise devient de plus en plus un chef d´orchestre et ne veut pas avoir la complexité à gérer.

Becky Pinckard, Head of Attack and Data Protection Monitoring, Barclays Bank, s´est ensuite livrée à un récit d´experience. La Barclays est une banque qui a comme chiffre d´affaire net 20,2 milliards de dollars, qui emploie 147.000 employés. Dans le domaine de la sécurité, elle possède cinq stratégies clés :
- 1) identifier les différentes parties de l´activité
- 2) connaître le risque et l´évaluer
- 3) définir des « requirements »
- 4) établir un plan d´implémentation
- 5) regarder, redéfinir et éduquer les esprits à la sécurité

Selon elle, le plan d´implémentation est particulièrement important, et il ne faut pas négliger l´information des salariés. Il faut six mois pour que le plan d´implémentation soit déployé.


Les AGF se préoccupent du DLP


Sylvère Léger, responsable de la sécurité des systèmes d´information des AGF, questionné par Mag Securs a donné sa vision du DLP (Data Leak Prevention). Les AGF manipulent un certain nombre de données sensibles et doivent se prémunir de la fuite d´informations. Même si le marché n´est pas mature, il y a un véritable intérêt pour les AGF à se préoccuper de DLP. Sylvère Léger déclare œuvrer en ce sens et se préoccuper de DLP. Il ne donne pas de calendrier précis de déploiement de solutions, mais a noté le DLP dans un des axes prioritaires de sa réflexion au sein de la SSI des AGF.

Le coût d´une perte de données sur une carte : 202 dollars

Leif Kremkow, Director Technical Account Management , CISSP pour Qualys, s´est ensuite penché sur les démarches pour satisfaire les exigences de la norme PCI-DSS. Cette norme a été édictée par le PCI Council, , qui a défini le Data Security Standart. Il y a douze exigences à satisfaire pour le PCI-DSS. Le standard a évolué sur différentes versions jusqu´à des certificats avec la version 1.1, qui sont valables à partir du 31.12.2008.
Sur le PCI-DSS, voici quelles sont les grandes tendances selon Visa : la perte de confidentialité peut aussi bien avoir lieu à la suite d´une transaction effectuée avec le détenteur de la carte Visa que sans lui.
Le top des vulnérabilités sur la carte bancaire se répartit comme suit :
- Stockage d´informations interdites.
- Application et systèmes d´exploitations pas à jour
- Configuration usine changée
- Application web mal concue
- Service superflu et vulnérable sur les systèmes

Selon lui, le coût d´une perte de données sur une carte est de 202 dollars. Mais le principal problème résulte de la perte d´image des marques, quand une société perd des données de carte bleue. Toutefois, cette perte n´est pas mortelle pour la société. La société américaine TJX, qui avait égaré des milliers de coordonnées bancaires, existe toujours.

Sébastien Bernard, Security and Identity Manager chez Novell, s´est ensuite attaché à déceler les meilleures pratiques en matière de plan de conformité et d´audit. Novell, très présent sur le secteur, poursuit plusieurs objectifs. Il veut, pour le client, atténuer le risque, réduire le coût, et améliorer la transparence du processus. Novell réduit le temps de déploiement et adopte une approche plus pro-active du processus. Il a notamment mis en place des approches pour un fournisseur de jeux en ligne, pour un opérateur télécom européen, et pour un aéroport européen.
L´activité plan de conformité et audit connaît un taux de croissance de 25% en 2008, et permet de réaliser 25% du chiffre d´affaires.

RSA sait traiter de la traçabilité, du contrôle d´accès et de l´identification forte


Bernard Montel, Directeur technique de RSA, est ensuite chargé de parler d´Information Risk Management (IRM) pour la gestion globale de la sécurité. RSA compte 30.000 clients, réalise 581 millions de dollars de chiffre d´affaires, dont 92 millions sur la lutte contre la fraude. 200 millions de compte sont protégés, avec une offre centrée sur la protection de l´information tout au long du cycle de vie. Dans ce cadre, il structure bien entendu une offre autour du DLP. Mais, au-delà de la protection de la donnée, RSA sait traiter de la traçabilité, du contrôle d´accès, de l´identification forte, et de la lutte contre la fraude. Concernant l´authentification forte, la France est en retard, mais la croissance est tirée par le SIEM.
Bernard Montel présente ensuite le cas de Dexia Solaris, un courtier en assurances pour le personnel des collectivités locales et hospitalières. La SSI compte deux personnes. Le besoin de sécurité est un besoin en concentration des logs, et la solution RSA a été retenue à la fin pour la simplicité de collecte de ses logs, pour le fonctionnement sans agent, et pour les tableaux de bord.
Le ROI a résidé dans le temps passé à la gestion des logs, dans la tranquillité de la SSI due à la solution, et dans sa compétitivité.

Philippe Gueguen, directeur de la division SRM de Novell, a planché sur la sécurisation en état de mobilité. La sécurité de la mobilité est une question régulièrement soulevée. Le DSI veut sauvegarder l´intégrité de ses données, faire plus avec moins de budget, et rendre les démarches les plus simples possibles. Novell présente à cet effet une solution Secure Your Desktop.
Les solutions présentées par Novell adoptent un répertoire personnel chiffré, une sécurisation du Wi-Fi, un contrôle d´intégrité, et une liste des applications autorisées. Avec une approche modulaire, il est possible d´avoir un inventaire, de l´interopérabilité, et une politique utilisateurs fondée sur les annexes mises en place.

Renault : 12 millions de transactions par jour

La société IronPort a ensuite quand à elle présenté un cas cité comme exemplaire sur la gestion des menaces et le Web 2.0, celui de Renault. Erwan Bouvier, expert informatique sécurité de Renault, a tout d´abord présenté les contraintes de sa société. Renault, c´est un accès Internet centralisé pour 7500 utilisateurs, 1 Gigabit de bande passante, avec une journalisation des accès sans contrôle du contenu consulté. Il y a eu une augmentation exponentielle de l´usage des ressources, avec, depuis cet été, un filtrage URL, un filtrage de contenu, et une génération de rapports détaillés pour la consommation de ressources. Renault souhaitait contrôler sa gestion des menaces. En 2008, il y a eu un appel d´offres, avec trois solutions retenues. De mai 2008 à septembre 2008, il y a eu un test des solutions short-listées sur un quart des utilisateurs de Renault. En septembre 2008, IronPort a été retenu, avec un démarrage de la solution opérationnelle en décembre 2008.
IronPort a été retenu pour beaucoup de raisons « l´authentification sur l´annuaire LDAP est la fonctionnalité discriminante chez Renault », indique Erwan Bouvier, qui mentionne aussi « la souplesse d´IronPort ». La mise en place de filtrage de contenu a eu un fort impact sur le support utilisateur. Renault a aussi mis en place un coaching de l´utilisateur, pour lui enseigner les bonnes pratiques en matière d´Internet.
Renault se félicite d´avoir choisi Ironport et cite spontanément plusieurs avantages :
- respect des fondamentaux
- optimisation des conditions de ressources
- protection renforcée intranet au groupe
- ressenti utilisateur positif
- protection contre le phishing, les virus et les malwares*
- solution simple et très ouverte.

Maintenant, le réseau de Renault, c´est 12 millions de transactions par heure, 8 équipements à 30% de charge, 240.000 transactions bloquées par heure, dont 10% arrêtées par la détection anti-malware. En terme de contenu regardé, il y a une répartition entre ce qui est interdit par la loi et la charte d´utilisation des ressources informatiques. C´est une décision collégiale DSI-DRH.

Cryptopgraphie quantique : un nouveau marché ?

Enfin, pour clore la journée, la dernière cession s´est intéressée à la cryptographie quantique. , avec Jean-Marc Merolla, chercheur au CNRS, et François Guignot, directeur général d´une start-up dans le domaine, Smart Quantum Europe.

Wikipedia donne la défnition suivante pour la cryptographie quantique : La cryptographie quantique est une tentative de mise en œuvre des prédicats de la mécanique quantique afin d´assurer la confidentialité, l´intégrité et/ou la non-interception de transmissions de données. C´est aussi un sous-domaine de l´informatique quantique et de la cryptographie.
« La cryptographie quantique n´est pas un algorithme de chiffrement à proprement parler : elle permet simplement de mettre en œuvre un algorithme de cryptographie classique, et même ancien, qui est le seul démontré sans failles : le masque jetable. Cet algorithme, bien que parfaitement sûr, est peu utilisé car il nécessite un échange de clé de longueur aussi grande que le message à transmettre. Cet échange de clé pose des problèmes de sécurité aussi importants que la transmission du message en lui-même, ce qui limite le domaine d´applicabilité de cet algorithme.
Cependant, la cryptographie quantique permet à deux interlocuteurs de s´échanger une clé en toute sécurité ; en effet, cette méthode permet non seulement de démasquer toute tentative d´espionnage grâce aux propriétés de la mécanique quantique, mais également de réduire la quantité d´information détenue par un éventuel espion à un niveau arbitrairement bas et ce grâce à des algorithmes classiques (privacy amplification). La cryptographie quantique constitue donc un outil précieux pour des systèmes de cryptographie symétrique où les deux interlocuteurs doivent impérativement posséder la même clé et ce en toute confidentialité. »
Les applications de cryptographie quantique se sont étendues en terme de transmission : de 23 km de distance, on est passé en 2004 à 150 km de distance.
De même, selon François Guinot, directeur général de Smart Quantum Europe, créée en 2004, les applications de la cryptographie quantique sont en train de sortir des salles de laboratoire. Son utilisation est extrêmement simple : c´est une solution point à point avec une limite de distance ; il faut un répéteur tous les 80 km. Selon lui, c´est une solution plus sécurisée, plus facile à utiliser et moins chère, qui trouve naturellement son marché sur les applications de défense nationale.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI