mardi 17 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > Assises de la sécurité 2005 : le bilan

Assises de la sécurité 2005 : le bilan

Bernard Foray, Vulnerabilite.com

dimanche 30 octobre 2005, sélectionné par Spyworld

logo

Les assises de la sécurité se sont achevées à Monaco. Le cru s’est avéré excellent.

La qualité de l’ensemble des ateliers étant, il est toujours difficile de choisir entre les différents sujets proposés. Aussi, nous allons vous livrer un échantillon des conférences auxquelles nous avons pu assister.

Combattre les attaques de type « déni de service »

La première conférence à laquelle nous avons assisté fut un atelier sur les « déni de services » présentée par la société RADWARE. Le niveau technique du conférencier lui a permis de s’adapter à l’auditoire qui n’avait pas forcément une connaissance fine des méandres du protocole TCP/IP. En se basant sur des exemples très concrets, Radware explique les techniques du « Syn Flooding » et autres « Déni de service applicatif » avec beaucoup de pédagogie. L’enchaînement naturel se fait alors sur les modes de protection qui consistent par exemple à limiter la bande passante autorisée pour l’attaquant ou l’utilisation d’un frontal permettant de ne transférer les connexions au serveur cible que dans le cas où elles sont valides (Statefull Applicatif).

Comment intégrer des indicateurs de sécurité dans les SLA de nos fournisseurs ?

TELINDUS nous a apporté de nombreux éléments de réponse en nous proposant notamment un classement des indicateurs par famille (niveau de sécurité, conformité, événementiel, change control/change management). Un modèle pour la consolidation de ces indicateurs sous forme de tableau de bord est venu clore la présentation. Ce type de tableau de bord permet d’avoir une idée de la tendance, de réagir ou d’anticiper toute dérive. Il nous donne enfin l’assurance que le partenaire choisi est conforme à nos attentes et que nous pouvons lui accorder notre confiance pour construire avec lui les protections nécessaires pour sauvegarder le patrimoine informationnel de nos sociétés.

L’analyse et la gestion des risques

McAfee nous a donné en 10 points clés une méthodologie d’analyse des vulnérabilités et de gestion des risques grâce à une « checklist » particulièrement pertinente. Le conférencier nous a rappelé la nécessité d’évaluer les contre-mesures par des tableaux de bord compréhensibles par le « top management » car d’après lui « plus les investissements sécuritaires sont efficaces moins on est capable de les justifier ».

La stratégie de Microsoft

L’éditeur de Redmond nous a exposé sa stratégie de sécurité faisant amende honorable du passé pour aller « vers une informatique de confiance... » Les points de suspension signifiant que c’est un objectif qui n’est pas encore atteint. Une véritable révolution culturelle est en marche, Microsoft ayant dû se « réinventer en terme de sécurité ». Rendons tout de même hommage à la firme américaine car les progrès sont bien réels. D’autre part le partenariat de Microsoft avec la police et la gendarmerie afin de traquer les « botnet » est de nature à montrer l’implication de Microsoft dans la lutte contre la criminalité informatique.

Le risque juridique lié au système d’information par Jean Marc Chartres (Telindus)

La conférencier, qui possède une grande maîtrise de son sujet, a rapidement fait quelques rappels essentiels sur les devoirs de l’entreprise en matière de protection des et des données nominatives. La vulgarisation des articles du code civil, pénal, droit du travail et autre LEN nous a permis de mieux évaluer la mission juridique du RSSI ainsi que ses limites, devoirs et droits.

Et la sensibilisation ?

À signaler, l’excellent outil baptisé Secureman par la société AEQUALIS qui, par un quiz ludique en ligne au format Flash, éduque et responsabilise les utilisateurs. Une façon de sensibiliser un large public plus ou moins novice à la sécurité.

Rugby et sécurité informatique : même combat selon BROTHER, sponsor du stade Français

Complètement décalé me direz-vous ? Et bien non ! Une explication de texte fournie par Fabrice Landreau, ex-international et co-entraîneur du Stade Français, nous permet de prendre conscience des valeurs communes du Rugby et de la sécurité informatique. En effet, la solidarité devant une attaque, la lucidité, la discipline, le partage des connaissances... autant de valeurs fondamentales que l’on retrouve dans le sport mais aussi dans le quotidien des RSSI qui luttent contre un adversaire virtuel de plus en plus aguerri aux méthodes de protection.

Le CIGREF était présent

Un représentant du CIGREF nous a expliqué avec beaucoup d’humour la place de la gestion des risques dans la gouvernance du SI. La gouvernance n’est pas un projet, c’est un ensemble de processus nous permettant d’équilibrer la création de valeurs et de performance et la réduction des risques.

La place de l’intelligence économique en France

Pour finir, nous avons été « époustouflés » par un ancien haut fonctionnaire qui a abordé les problématiques de d’intelligence économique et les solutions pratiques pour sa mise en oeuvre. Point de slides, ni de beaux schémas PowerPoint colorés, juste un orateur dont toute la salle a bu les paroles, tant il a été convaincant en nous rappelant entre autres que nous, Français, devions évoluer vers un décloisonnement de l’information. Une information non partagée est inutile, et à faire de la rétention nous mourrons seuls avec nos secrets. Faut-il alors créer un « Monsieur » intelligence économique dans les sociétés ? Du point de vue de l’orateur, la réponse se dirige plutôt vers l’émergence d’un comité spécialisé. Dans le cas contraire, nous retomberions aisément dans le travers cité ci-dessus.

Rencontres & échanges autour d’activités ludiques

Comme il est de tradition aux assises de la sécurité, le dernier jour est consacré à la détente. Cette année, les invités ont pu goûter aux joies du modélisme à travers le pilotage de voitures et de voiliers radiocommandés. Bien que la pluie se soit invitée à ce moment de détente, il s’agit d’une période propice aux rencontres, aux échanges et débats constructifs.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :