Pour les quinze ans des Assises de la Sécurité, la rédaction de Solutions IT a interrogé quinze experts présents à Monaco dont dix DSI ou responsables de la sécurité des systèmes d’information. Découvrez les indicateurs de sécurité qui comptent pour eux, leurs défis actuels et les dernières contre-mesures retenues dans les secteurs public et privé. La gestion des identités, les accès sécurisés vers le Cloud (privé, public ou hybride) et la protection des données, y compris sur les terminaux mobiles, font partie des priorités du moment.
Retrouvez les interviews vidéo des 10 DSI et RSSI
SFA analyse ses flux entrants et sortants en temps réel
Tous les métiers du groupe SFA (industrie et presse) se transforment avec les technologies numériques. La mobilité et les applications Cloud facilitent les échanges internationaux continus. « Une trentaine de sites, équipés de grappes de serveurs VMware, sont interconnectés avec des pare-feu de nouvelle génération Barracuda. Les progrès récents proviennent du contrôle applicatif sur des liens étendus agrégés, associés à une gestion de la qualité de services », précise Frédéric Carricaburu, le DSI de SFA.
Face aux cyber-menaces, équilibrer la détection, la protection et la riposte
« Selon les dernières études sur un budget en sécurité, 70% sont consacrés aux protections, 20% à la détection et 10% seulement à la riposte. Nous conseillons de ré-équilibrer ce budget en trois tiers », préconise Stéphane Dahan, le président de Securiview.
Chez ses clients, des entreprises de taille moyenne à grande et des agences gouvernementales, il note une prise de conscience sur le management de la sécurité et la nécessité de réagir aux incidents.
Le Conseil Supérieur du Notariat gère les identités et accès numériques avec Ilex
Le projet ID.not parvient à concilier « sécurité, innovation, accessibilité et confort d’utilisation pour les notaires », explique Pierre Totier, chef de projet de l’association Pratic au service du Conseil Supérieur du Notariat. Il vise à assurer l’authentification, la fourniture d’identification unique, le SSO et la connexion au système d’authentification renforcée des notaires. Une réussite qui associe les logiciels Sign&Go et Meibo d’Ilex, un portail maison et le soutien du cabinet de conseil Synetis.
Déployer de nouveaux services robustes plus rapidement
Un enjeu du groupe Matmut consiste à sortir vite de nouvelles applications répondant aux besoins des assurés, tout en maîtrisant la production informatique. « Il faut un dialogue continu entre les parties prenantes de la direction pour continuer à gérer de manière industrielle et sécurisée l’existant, sans freiner la transformation des entreprises et de leur marché », souligne David Quantin, directeur informatique Adjoint du groupe Matmut.
Le RSSI doit se connecter à la stratégie de son entreprise
« Finie l’ère des RSSI grognons. Le responsable de la sécurité numérique qui resterait confiné au sein de sa DSI, derrière son bureau à répondre à ses mails, est mort. Il va falloir être dans l’anticipation et dans l’accompagnement des métiers », prévient Alain Bouillé, le RSSI du groupe Caisse des Dépôts et président du CESIN, le club des experts en sécurité du numérique. Découvrez quelques-uns des principaux défis partagés par ses 230 membres francophones.
Le travail collaboratif en ligne exige de la confiance
« Notre métier consiste à garantir la sécurité du Cloud tout en procurant une bonne expérience utilisateur. Cela passe par des applications mobiles chiffrées sur tablette, parfois conçues avant les applications Web elles-mêmes », retrace Frédéric Fouyet, RSSI de CertEurope et directeur Innovation d’Oodrive. Dans de nombreux cas d’externalisation, ajoute-t-il, la notion juridique de la protection des données numériques dépasse le simple cadre technologique.
L’obligation réglementaire fait progresser la sécurité Informatique
Les terminaux mobiles et les objets connectés déferlent dans le système d’information des établissements de santé. « Encore trop d’incidents informatiques sont provoqués par le non-respect des procédures de base par les informaticiens. Les RSSI attendent énormément de l’obligation réglementaire pour progresser », témoigne Cedric Cartau, RSSI et correspondant Informatique & Libertés du CHU de Nantes. L’anti-malware ne suffit plus. Afin de contenir les attaques ciblant de nouveaux terminaux ou systèmes Scada, il préconise le cloisonnement du réseau en VLANs et l’inspection en profondeur des flux de données.
La disponibilité des services métiers est un indicateur de management
« Toute compromission de la sécurité a un impact direct et très rapide sur les services, sur l’image et sur le chiffre d’affaires de l’entreprise », explique Laurent Benamou, le directeur en charge des infrastructures et de la sécurité du groupe InfoPro Digital (Le Moniteur, L’Usine Nouvelle, LSA).
Lancé dans une démarche de certification ISO 27001, son groupe implique la sécurité numérique en amont du développement de nouveaux services destinés aux salariés, aux partenaires ou aux clients. L’analyse des risques bénéficie de l’approche de SecuriView, les terminaux mobiles sous Android et IOS étant suivis par la solution MDM d’Airwatch.
La sécurisation du Cloud s’affirme aux Assises 2015
Le transporteur gazier est un OIV (organisme d’importance vital) lancé dans une dynamique de services métiers pour le terrain, de Cloud mobile et de Big Data. Il se tourne volontiers vers des prestataires Cloud de confiance. Parmi eux, OpenTrust procure ses infrastructures, certificats numériques et supports cryptographiques. « Nos critères de choix pour le Cloud sont la caractérisation des données et la flexibilité des solutions », précise Francis Elissalde, architecte SI de TIGF.
Bolloré Logistics contrôle la conformité des accès serveurs
Au-delà d’une charte de bonnes pratiques définie pour les administrateurs, Bolloré Logistics déploie un portail unifié garantissant des accès conformes aux serveurs. Outre le soutien des équipements de Wallix, il retient un MDM « La sécurité est au cœur des études et des réflexions sur nos infrastructures d’applications », précise Raphaël Vignon-Davillier, le RSSI du groupe Bolloré Logistics.
BearingPoint retient Airwatch pour gérer sa flotte de terminaux mobiles
Avec des clients gouvernementaux et militaires dans une quarantaine de pays, la société de conseils européenne doit garantir la confidentialité des données de ses clients. Elle emploie près de 4 000 salariés dans le monde, dont les trois quart sont équipés de PC portables et de smartphones. Le suivi de ces terminaux mobiles passe par la solution MDM d’Airwatch, installée sur site plutôt que dans le Cloud. Julien Royere, RSSI de Bearing Point.