26/04/01
"Les
tests d'intrusion ont avant tout une fonction éducative"
Propriété du groupe Telindus depuis juin 2000,
CF6 conseille les grandes entreprises en matière
de sécurité. En amont de leurs projets mais
aussi pour tenir à niveau leurs dispositifs via des
audits et des tests d'intrusion. Patrick Coilland dresse
pour JDNet Solutions le tableau des risques et de leur niveau
d'appréhension par les entreprises.
JDNet
Solutions : CF6 travaille pour l'essentiel avec des grands
comptes, comment appréhendent-ils la question de
la sécurité ?
Patrick Coilland : Nous rencontrons trois
grandes catagories d'entreprises. Tout d'abord celles qui
n'ont investi quasiment aucune ressource sur le sujet, tout
simplement parce que la direction générale
n'est pas sensibilisée à ce type de risques.
Ces entreprises-là sont toutefois de plus en plus
rares. Deuxième catégorie, les entreprises
qui sont sensibilisées, qui ont mobilisé des
moyens mais qui ont des doutes sur la méthode à
suivre pour être pleinement efficaces. Enfin, dernier
type de clients, ceux qui ont déjà une politique
de sécurité, des compétences et qui
cherchent simplement à tenir à jour leur dispositif
et à l'éprouver.
C'est pour ce type de clients
que CF6 mène des tests d'intrusion ?
Pas seulement. Si les tests d'intrusion représentent
en effet une forme de maintenance d''un projet, ils nous
servent aussi en avant-vente, notamment pour sensibiliser
des directions générales. Pour ces clients-là,
ces tests ont une fonction très éducative
et débouchent souvent sur l'installation de solutions
sur le mode urgent...
Quels projets conduisent une
entreprise à s'intéresser davantage à
la sécurité ?
Généralement, quand une entreprise
envisage d'utiliser Internet pour interconnecter des sites
ou des filiales, c'est à ce moment qu'elle commence
véritablement à s'intéresser à
la sécurité. L'autre facteur déclenchant,
ce sont les projets d'infrastructure à clef publique
(PKI, Public Key Infrastructure).
Ces projets de PKI sont une
réalité ?
L'étiquette "PKI" est problématique
parce qu'elle couvre un spectre très large de projets.
A titre d'exemple, véhiculer des coordonnées
bancaires via un flux SSL, c'est déjà mettre
un pied dans un proket PKI puisque SSL recourt à
des certificats. En même temps, cela n'a pas grand
chose à voir avec le déploiement de certificats
à l'échelle d'une entreprise pour authentifier
les collaborateurs et signer des documents. Pour ce type
de projets, j'avoue que l'heure est plus à la réflexion
qu'à la concrétisation. A l'exception notable
du ministère des Finances qui, à la fois pour
signer ses documents internes et pour valider en ligne les
déclarations de TVA, a réellement ouvert ce
chantier.
Quand la presse, JDNet Solutions
inclus, parle de sécurité, c'est souvent pour
évoquer de nouveaux virus ou des failles dans un
logiciel. A vos yeux, d'où viennent les grands risques
?
Les virus, les failles, ce sont des choses
connues et pour lesquels on a appris à être
réactif. La sécurité, c'est avant tout
des outils et des méthodes opérés par
des hommes. Et souvent, le principal risque vient du fait
que les hommes opèrent mal. Ce sont des risques moins
spectaculaires, plus difficiles à cerner, mais bien
réels...
En matière d'édition
logicielle, le marché semble tenu par quelques grands
acteurs. Cela vous semble-t-il sain ?
La sécurité est un projet très
structurant puisque c'est un projet qui touche les individus
et, dans le cas des grands comptes, à une grande
échelle. Il semble donc logique que ces entreprises
se tournent vers les éditeurs a priori les plus pérennes
et les plus réactifs, c'est-à-dire les plus
gros ! Ce qui ne les empêche pas d'être méfiant
envers des éditeurs qui sont principalement anglo-saxons...
Les entreprises craignent la
présence de cheveaux de Troie dans des produits commerciaux
?
On nous pose régulièrement
des questions sur le sujet. Et d'ailleurs ce n'est pas seulement
pour "doubler" le niveau de sécurité
que les entreprises installent souvent deux firewalls. En
fait, elles choisissent un premier logiciel de renom et
un second, beaucoup plus confidentiel qui va, en quelque
sorte, jouer les veilleurs. En même temps, il est
amusant de noter que ces entreprises ne se posent pas de
questions quand elles déploient des milliers de postes
sous Windows équipés de tous les logiciels
de Microsoft...
Une politique de sécurité
cohérente, soutenue par les bonnes ressources humaines,
avec les bonnes solutions, cela suffit-il à mettre
une entreprise totalement à l'abri ?
A l'abri des risques courants certainement. Il faut néanmoins
rester honnête : si une entreprise est ciblée
par un concurrent ou un organisme qui dispose de suffisamment
de moyens, il lui sera très difficile d'empêcher
une intrusion sur son réseau.
Patrick Coilland a débuté sa carrière
au sein du ministère de la Défense où il participe au démarrage
de la section d'études et de recherche informatique de l'Etat
Major de l'Armée de Terre. En 1983, il rejoint le groupe
GFI avant de se lancer trois ans plus tard dans la fondation
de CF6.
|