Pour les 15 ans des Assises de la Sécurité, qui se sont déroulées du 30 septembre au 3 octobre, la rédaction de Solutions IT & Solutions Numériques a interrogé les DSI, responsables de la sécurité des systèmes d’information et experts informatiques réunis à Monaco. Dans ces interviews vidéo, découvrez les indicateurs de sécurité qui comptent, les défis actuels et quelques pistes d’amélioration retenues par de grands groupes des secteurs public et privé. La gestion des identités, les accès sécurisés vers le Cloud (privé, public ou hybride) et la protection des données, y compris sur les terminaux mobiles, font partie des priorités de nombreux RSSI.
Les applications Cloud devraient être repensées
Une organisation interne et externe s’impose pour répondre correctement aux attaques en réseau. “Les outils de sécurité à eux seuls ne suffisent pas. Il convient d’analyser les alarmes, de mener l’enquête et de repenser les applications cloud en particulier“, prévient Hervé Schauer, directeur général du cabinet HSC by Deloitte.
Vidéo Assises de la Sécurité 2015 – Les applications Cloud devraient être repensées
Wallix échafaude le Cloud de confiance
La recette du cloud de confiance ? Pour Jean-Noël de Galzain, le fondateur et PDG de Wallix, c’est un savant mélange de gouvernance et de visibilité en temps réel des accès aux ressources et aux données pour garantir la conformité des usages. Il faut aussi être en mesure de prévenir les risques et d’alerter en cas d’utilisation frauduleuse. Le nouveau portail WAB Access Manager, conçu pour les environnements virtualisés et Cloud, simplifie la gestion des comptes à privilèges, limite les coûts d’investissements et les coûts d’exploitation.
Vidéo Assises de la Sécurité 2015 – Wallix échafaude le Cloud de confiance
Le RSSI doit se connecter à la stratégie de son entreprise
« Finie l’ère des RSSI grognons. Le responsable de la sécurité numérique qui resterait confiné au sein de sa DSI, derrière son bureau à répondre à ses mails, est mort. Il va falloir être dans l’anticipation et dans l’accompagnement des métiers », prévient Alain Bouillé, le RSSI du groupe Caisse des Dépôts et président du CESIN, le club des experts en sécurité du numérique. Découvrez quelques-uns des principaux défis partagés par ses 230 membres francophones.
Vidéo Assises de la Sécurité 2015 – Le RSSI doit se connecter à la stratégie de son entreprise
La disponibilité des services métiers est un indicateur de management
« Toute compromission de la sécurité a un impact direct et très rapide sur les services, sur l’image et sur le Chiffre d’Affaires de l’entreprise », explique Laurent Benamou, le directeur en charge des infrastructures et de la sécurité du groupe InfoPro Digital (Le Moniteur, L’Usine Nouvelle, LSA). Lancé dans une démarche de certification ISO 27001, son groupe implique la sécurité numérique en amont du développement de nouveaux services destinés aux salariés, aux partenaires ou aux clients. L’analyse des risques bénéficie de l’approche de SecuriView, les terminaux mobiles sous Android et IOS étant suivis par la solution MDM d’Airwatch.
La sécurisation du Cloud s’affirme aux Assises 2015
Le transporteur gazier est un OIV (organisme d’importance vital) lancé dans une dynamique de services métiers pour le terrain, de cloud mobile et de big data. Il se tourne volontiers vers des prestataires cloud de confiance. Parmi eux, OpenTrust procure ses infrastructures, certificats numériques et supports cryptographiques. « Nos critères de choix pour le cloud sont la caractérisation des données et la flexibilité des solutions », précise Francis Elissalde, architecte SI de TIGF.
Vidéo Assises de la sécurité 2015 – La sécurisation du Cloud chez TIGF
Ercom chiffre les échanges mobiles, des ministères aux PME
L’expert des communications voix, données et SMS sécurisés présente CryptoSmart, une carte micro-SD avec une applet de cryptographie conçue pour les smartphones et les tablettes. Un accord de co-développement signé avec le géant Samsung va accélérer leur commercialisation. De plus, le travail collaboratif en environnement cloud privé ou hybride pourra rester confidentiel, grâce à la nouvelle Cryptobox d’Ercom. Julia Mason, directrice Produits de Sécurité d’Ercom nous en dit davantage.
Vidéo Assises de la Sécurité 2015 – Ercom chiffre les échanges mobiles, des ministères aux PME
Le Conseil Supérieur du Notariat gère les identités et accès numériques avec Ilex
Le projet ID.not parvient à concilier « sécurité, innovation, accessibilité et confort d’utilisation pour les notaires », explique Pierre Totier, chef de projet de l’association Pratic au service du Conseil Supérieur du Notariat. Il vise à assurer l’authentification, la fourniture d’identification unique, le SSO et la connexion au système d’authentification renforcée des notaires. Une réussite qui associe les logiciels Sign&Go et Meibo d’Ilex, un portail maison et le soutien du cabinet de conseil Synetis.
Déployer de nouveaux services robustes plus rapidement
Un enjeu du groupe Matmut consiste à sortir vite de nouvelles applications répondant aux besoins des assurés, tout en maîtrisant la production informatique. « Il faut un dialogue continu entre les parties prenantes de la direction pour continuer à gérer de manière industrielle et sécurisée l’existant, sans freiner la transformation des entreprises et de leur marché », souligne David Quantin, directeur informatique adjoint du groupe Matmut.
Vidéo Assises de la sécurité 2015 – La Matmut déploie de nouveaux services robustes plus rapidement
L’obligation réglementaire fait progresser la sécurité informatique
Les terminaux mobiles et les objets connectés déferlent dans le système d’information des établissements de santé. « Encore trop d’incidents informatiques sont provoqués par le non-respect des procédures de base par les informaticiens. Les RSSI attendent énormément de l’obligation réglementaire pour progresser », témoigne Cedric Cartau, RSSI et correspondant Informatique & Libertés du CHU de Nantes. L’anti-malware ne suffit plus. Afin de contenir les attaques ciblant de nouveaux terminaux ou systèmes Scada, il préconise le cloisonnement du réseau en VLANs et l’inspection en profondeur des flux de données.
SFA analyse ses flux entrants et sortants en temps réel
Tous les métiers du groupe SFA (industrie et presse) se transforment avec les technologies numériques. La mobilité et les applications Cloud facilitent les échanges internationaux continus. « Une trentaine de sites, équipés de grappes de serveurs VMware, sont interconnectés avec des pare-feu de nouvelle génération Barracuda. Les progrès récents proviennent du contrôle applicatif sur des liens étendus agrégés, associés à une gestion de la qualité de services », précise Frédéric Carricaburu le DSI de SFA.
Vidéo Assises de la sécurité 2015 – SFA analyse ses flux entrants et sortants en temps réel
Bolloré Logistics trace les accès aux serveurs avec Wallix
« La sécurité est au cœur des études et réflexions sur nos infrastructures d’applications », explique Raphaël Vignon-Davillier, le RSSI du groupe Bolloré Logistics. Pour appliquer sa charte de bonnes pratiques d’administration, le transporteur international déploie un portail unifié assurant des accès conformes aux serveurs. Les terminaux mobiles sont encadrés par une solution MDM tandis que les équipements de l’infrastructure sont traçés par Wallix.
Vidéo Assises de la Sécurité 2015 – Bolloré Logistics trace les accès aux serveurs avec Wallix
FireEye prône une sécurité collaborative pour contrer les attaques APT
Pour étoffer sa connaissance des menaces, FireEye traque les groupes cybercriminels, collecte des renseignements et consolide les alertes de ses clients. Ces informations complètent les analyses comportementales traitées au sein de ses équipements de sécurité. Un partage de bonnes pratiques et de connaissances s’impose pour limiter les effets des attaques APT, explique Christophe Badot, le directeur général de FireEye France. Ces attaques ciblent en priorité l’aérospatial et les gouvernements ; 76% d’entre elles ont toujours pour vecteur l’e-mail.
Le travail collaboratif en ligne exige de la confiance et de la transparence
« Notre métier consiste à garantir la sécurité du cloud tout en procurant une bonne expérience utilisateur. Cela passe par des applications mobiles chiffrées sur tablette, parfois conçues avant les applications Web elles-mêmes », retrace Frédéric Fouyet, RSSI de CertEurope et directeur Innovation d’Oodrive. Dans de nombreux cas d’externalisation, ajoute-t-il, la notion juridique de la protection des données numériques dépasse le simple cadre technologique
Face aux cyber-menaces, équilibrer la détection, la protection et la riposte
« Selon les dernières études sur un budget en sécurité, 70% sont consacrés aux protections, 20% à la détection et 10% seulement à la riposte. Nous conseillons de rééquilibrer ce budget en trois tiers », préconise Stéphane Dahan, le président de Securiview. Chez ses clients, des entreprises de taille moyenne à grande et des agences gouvernementales, il note une prise de conscience sur le management de la sécurité et la nécessité de réagir aux incidents.
Sentryo cartographie et atténue les risques industriels
La jeune pousse française a obtenu le prix de l’innovation des Assises de la Sécurité 2015. Elle propose des sondes et des logiciels pour mieux connaître et surveiller les vulnérabilités des automates et des systèmes industriels. « ICS Cybervision, dont la commercialisation démarre en France et en Allemagne dès à présent, facilite la collaboration entre automaticiens et responsables de la sécurité », précise Thierry Rouquet, le président de Sentryo.
Assises de la Sécurité 2015 – Sentryo cartographie et atténue les risques industriels
BearingPoint retient Airwatch pour gérer sa flotte de terminaux mobiles
Avec des clients gouvernementaux et militaires dans une quarantaine de pays, la société de conseils Européenne doit garantir la confidentialité des données de ses clients. Elle emploie près de 4000 salariés dans le monde, dont les trois quart sont équipés de PC portables et de smartphones. Le suivi de ces terminaux mobiles passe par la solution MDM d’Airwatch, installée sur site plutôt que dans le Cloud.
Issy-les-Moulineaux a construit un socle pour numériser ses métiers
Comment maîtriser la transition d’une administration papier à une administration numérique ? « Issy-les-Moulineaux est une smart city centrée sur le services aux citoyens », rappelle Stéphane Nouvellon, expert sécurité de SPIE Communications. L’ouverture du système d’information exige de repenser les métiers, les services et les accès à l’infrastructure et aux données personnelles. « La DSI devient le service de la ville numérique », note Jean-Paul Poggioli, directeur de projets chez MediaTerra Consultants, responsable de l’assistance à maîtrise d’ouvrage et maîtrise d’œuvre. La ville externalise la gestion de son socle technique, confiant l’infogérance des réseaux et télécoms à SPIE Communications et celle de l’éditique à Canon Business Services
Vidéos Assises de la Sécurité – Issy-les-Moulineaux a construit un socle pour numériser ses métiers
Hervé Schauer invite les RSSI à anticiper davantage
Face aux usages Cloud et à la mobilité des données, “il faut plus de contrôles, plus de contrats et plus de traces afin d’appliquer partout la politique de sécurité de l’entreprise”, recommande Hervé Schauer, directeur général d’HSC by Deloitte. En rejoignant le groupe Deloitte, son entreprise complète les tests d’intrusion et les audits de sécurité par de nombreux services et formations autour de la protection des systèmes IT et industriels.
Hervé Schauer invite les RSSI à anticiper davantage
Auteur : Olivier Bouzereau