Mag Securs a interviewé Eric WIATROWSKI, Directeur délégué à la sécurité chez France Telecom Transpac, pour lui demander comment l´opérateur s´organise pour répondre aux besoins de ses clients et quels sont les nouveaux défis auxquels il faut faire face.

La sécurité de l?information est une préoccupation majeure pour les grandes entreprises. France Telecom se doit d?y répondre par la mise en ?uvre et l?affichage de solutions de sécurité interne aux entreprises ou intégrées à son offre de services et réseaux. La sécurité repose sur une maîtrise technologique, une veille permanente, et une gestion de la relation avec les grands équipementiers et éditeurs de logiciels.
Elle suppose aussi une organisation appropriée et une certaine humilité de la part des experts pour faire contrôler et valider leur propre travail.

Le service grands comptes

En France, l?exploitation des offres data pour les grands comptes mobilise 3.000 personnes dont 200 experts en sécurité informatique.

En France, les réseaux data des Grandes Entreprises gérés par France Télécom représentent aujourd?hui 200 000 routeurs et des milliers de serveurs informatiques. Cela donne à France Telecom un poids important qui lui permet de faire valoir ses besoins, et ceux de ses clients, auprès des grands fournisseurs du domaine.

La sécurité des données comprend le respect de leur confidentialité, de leur intégrité et de leur disponibilité. Sans oublier la traçabilité des actions réalisées sur ces données En dehors de moyens techniques, l?atteinte de cet objectif impose le déroulement de process construits avec soin. En ce sens Sécurité et Qualité relèvent de la même démarche.

Une approche traditionnelle avec distinction entre maîtrise d?ouvrage et maîtrise d??uvre

France Telecom propose une approche en 3 étapes :

- Une conception adaptée de la solution
Le niveau de sécurité doit être adapté en fonction de la nature des informations à protéger. Les besoins en sécurité dépendent des usages et du niveau d?exigence. Pour les différentes familles d?usages, le niveau de sécurité à apporter (et donc la solution adaptée) dépendra essentiellement du niveau d?exigence de l?entreprise, des conditions d?utilisation et de la criticité des données exposées. Par exemple, un niveau trop faible conduit tôt ou tard à un préjudice. Un niveau trop élevé sera source d?une complexité de mise en ?uvre nuisible au bon déroulement business : mauvaise ergonomie, perte des clefs d?accès, baisse des performances dues au chiffrement? Tout est question d?équilibre entre complexité et sécurité.
France Telecom offre une gamme de services, et elle peut conseiller le client sur les niveaux de sécurité et les services à mettre en ?uvre. Mais il ne s?agit aucunement de se substituer au client dans la définition de sa politique de sécurité. Lui seul, en fonction de ses impératifs business, sait ce qui doit être protégé quitte à faire quelques sacrifices sur l?ergonomie des applications.

- La phase de réalisation.
Lors du déploiement de la solution, le client joue son rôle de maître d?ouvrage tandis que France Telecom, maître d??uvre, prend en charge toute la logistique y compris la gestion des fournisseurs retenus pour la solution client.

- L?exploitation au quotidien.
La gestion de tous les composants de sécurité fait partie du c?ur de métier de France Telecom. La mutualisation entre réseau et sécurité améliore le bilan économique tout en renforçant l?efficacité. Là encore, le client conserve le pilotage de sa sécurité et France Telecom lui propose les tableaux de bord et des outils de pilotage correspondants.

Les entreprises ont conscience que la gestion de leur sécurité est critique. La gestion et son architecture étant devenues extrêmement complexes, elles peuvent faire le choix d?externaliser leur sécurité. France Telecom propose ainsi aux entreprises la prise en charge de l?externalisation de la mise en ?uvre et de l?exploitation de la sécurité des données, tout en leur laissant le pilotage. Le dialogue transparent basé sur la confiance entre l?opérateur et son client est une des clefs du succès.

Tous les outils de la sécurité

France Telecom offre une large gamme de services de sécurité managée : firewalls, anti-virus, filtrage d?URL, systèmes d?authentification, liens IPSec?basée sur les produits leader du marché.
France Telecom prend en charge les tâches récurrentes de mise à jour des versions logicielles, de mise à niveau des patchs, d?analyse des fichiers log, de supervision proactive?qui sont réalisées en continu par les équipes d?exploitation.

La sécurité de l?offre data s?inscrit en continuité des procédures déjà appliquées depuis longtemps par France Telecom. Son organisation et ses process industriels centrés autour de l?exploitation d?équipements et de systèmes permettent de mettre à la disposition des entreprises des solutions à la fois éprouvées et personnalisées. Par exemple, les routeurs de c?ur de réseau sont traités avec la même organisation et la même rigueur que les centraux de transit voix.

Un univers marqué par les leaders Cisco et Microsoft

La veille est un point fondamental de la sécurité et France Telecom y consacre du temps et des moyens. Les clients bénéficient de cette façon d?un savoir-faire mutualisé, et sans cesse actualisé.

Il est clair aujourd?hui que la sécurité repose fortement sur les offres de leaders comme Cisco et Microsoft. Malgré toutes les précautions prises par ces derniers, le renouvellement rapide des produits et leur complexité croissante peut conduire à des failles de sécurité exploitables par des individus malveillants. Il est donc nécessaire de déceler le problème au plus tôt et de déployer des solutions au plus vite. C?est là qu?une collaboration étroite entre un acteur important du marché comme France Telecom et ses partenaires et fournisseurs industriels informatiques prend tout son sens. En effet, France Telecom grâce à son expérience sait évaluer les risques qu?une faille représente, les faire remonter auprès de ses fournisseurs qui fourniront des moyens de résolution ou de contournement dans les meilleurs délais.
C?est le fruit d?une telle collaboration conduite avec Cisco qui a permis, durant cet été, de corriger rapidement et sans conséquence une faille importante sur des dizaines de milliers de routeurs.

Les tendances pour la sécurité

Dans les évolutions actuelles, les experts sécurité vont devoir traiter le problème de la mobilité : ADSL au domicile en complément du réseau de l?entreprise, GPRS, WiFi et demain UMTS. Autant de défis pour sécuriser les systèmes d?information des entreprises.
De façon générale, les nouvelles technologies privilégient souvent l?ergonomie et l?efficacité au détriment de la sécurité. Le WiFi n?a pas échappé à cette règle. Les premières implémentations ont rapidement montré leurs limites face à l?intelligence des hackeurs. Aujourd?hui, il existe de nouveaux moyens de protections comme la norme IEEE 802.1X, le chiffrement IPSec, le protocole WPA? qui permettent d?aborder le WiFi avec confiance.
Travailler avec France Télécom qui s?appuie sur les travaux des nombreux experts de FT R&D internationalement reconnus permet au client de s?appuyer sur un partenaire de confiance.

De la méthode et de l?organisation

La sécurité est affaire de technologie : carte à puce, PKI, chiffrement IPSec, proxy? mais pas seulement.
Plus que les technologies, c?est la façon de les mettre en ?uvre qui va construire la sécurité. La meilleure carte à puce du monde distribuée sans précaution (code confidentiel diffusé par mail, par exemple) ne permettra aucunement d?être sûr de l?identité de l?utilisateur.
C?est pour être totalement confiant dans ses processus que France Telecom entreprend des processus d?audit et de certification dès que l?opportunité se présente. Par exemple, le service phare Equant IP-VPN a été certifié par la DCSSI (Direction Centrale de la Sécurité des Systèmes d?Information, dépendant du 1er Ministre) en regard de la norme internationale ISO 15408 alias Critères Communs. Ce processus de certification mené avec rigueur par les experts sécurité de la DCSSI a, en autre, permis d?améliorer certains procédés d?exploitation et d?être ainsi plus confiant dans le niveau de service offert aux grands comptes.
Cette démarche est unique sur le marché des opérateurs. France Télécom a conscience que la sécurité est un enjeu majeur pour ses clients et que la démarché sécurité permet d?améliorer la sécurité à la fois au sein de l?entreprise (partenaires, clients, sous-traitants?) et en externe en participant au marketing, à l?image et en bâtissant la confiance.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI