 |
|
| |
 |
Stéphane Prophète
Responsable sécurité
Telindus |
|
Stéphane Prophète
"En France, nous sommes encore conservateurs et souvent trop prudents"
Pour assurer la continuité de leur activité et garantir leur conformité, les entreprises devront amorcer des chantiers de sécurisation de données, de contrôle d'accès ou encore de pare-feu applicatif. Les réponses d'un spécialiste aux questions que ces chantiers soulèvent.
30/10/2006 |
| |
|
|
Quels sont les métiers et domaines d'intervention de Telindus ?
 |
En savoir plus |
|
 Telindus |
 Dossier Virus |
Stéphane Prophète. Le métier de Telindus est de transformer un besoin client en solution opérationnelle dans les domaines des infrastructures, de la sécurité et de la téléphonie sur IP. Les domaines d'intervention sont larges : conseil, assistance à maitrise d'ouvrage, réalisation, maintenance et services managés.
Telindus est-il amené à conduire des tests d'intrusion ou des audits de sécurité ?
Oui. Nous avons une cellule dédiée à ce type de prestation. Basée en France, les ingénieurs interviennent sur toute l'Europe.
Les entreprises consacrent-elles plus de budget désormais à la sécurité ?
En France, la tendance n'est pas à une hausse significative alors que nous pensons que le besoin lui est, et va devenir de plus en plus important.
Quelles sont leurs principales dépenses en la matière ?
Notre vision est que les solutions de sécurité périmétriques (pare-feu, VPN) constituent encore un pôle important. Viennent ensuite les solutions de haute disponibilité (load balancers) et les proxys Web.
Le filtrage d'URL apparait ensuite avec une importance moindre, tout comme les solutions de sécurisation mail et l'authentification forte.
Quels sont selon vous les principaux chantiers qu'ont à mener les entreprises sur le plan de la sécurité ?
Les chantiers à mener sont relatifs aux métiers de chaque entreprise. Toutefois, on peut citer des points communs à tout type d'activité. La sécurisation de la messagerie doit impérativement être prise en compte du fait de l'importance que cette application a prise aujourd'hui.
La sécurisation des flux Web doit aussi être abordée afin de respecter les législations en vigueur qui impliquent la responsabilité des dirigeants. Toutes les entreprises qui publient une application métier sur Internet doivent être conscientes de l'évolution des risques et devraient envisager les solutions de type firewall applicatif, seules capables de garantir un fonctionnement normal.
Enfin, je pense que la sécurisation des réseaux internes devrait être un sujet important, notamment dans les grands groupes et dans les banques en particulier.
| |
|
 |
|
|
 Il ne faut surtout pas croire que la téléphonie traditionnelle était sécurisée..." |
|
La téléphonie fait-elle selon vous désormais partie de l'informatique des entreprises ? Est-elle sous le contrôle des DSI ?
La téléphonie peut aujourd'hui être vue comme une application utilisant les infrastructures de communication de l'entreprise. Par contre, je ne m'estime pas bien placé pour bien répondre à la seconde question.
Peut-on désormais basculer sur la VoIP et espérer conserver le même niveau de sécurité qu'avec la téléphonie traditionnelle ?
C'est effectivement un des grands débats autour de la VoIP. Je répondrai en disant qu'il ne faut surtout pas croire que la téléphonie traditionnelle était sécurisée...
La montée en puissance des besoins en matière de sécurisation des réseaux internes va permettre de couvrir aussi bien la VoIP, que les autres applications de l'entreprise.
Le fait que la VoIP transite sur une infrastructure mutualisée - le réseau interne - force les entreprises à prendre en compte l'aspect sécurité et le résultat sera positif.
Quel pays a le mieux pris en compte l'utilité d'un système d'information performant ? La France est-elle bien placée ?
Il est très difficile de répondre à cette question en mettant en avant un pays plus qu'un autre.
Je pense quand même que les Etats-Unis sont bien plus en avance en matière de sécurité. C'est en partie dû à des lois qui ont incité les entreprises à se mettre en conformité, mais aussi à une approche anglo-saxonne très pragmatique par rapport à une problématique.
Un besoin est identifié, plusieurs solutions peuvent répondre. Après test et validation, une des solutions est choisie et mise en place.
En France, on est encore conservateur et souvent trop prudent. J'ai encore récemment vu des cas ou des besoins de sécurité n'étaient tout simplement pas couverts pour la simple raison que la société capable de fournir LA solution n'avait pas pignon sur rue. C'est un choix, mais ce n'est pas un choix très prudent finalement.
Le NAC (Network Access Control) n'est-il pas seulement un nouveau concept marketing ? Ses failles ont été démontrées lors de la dernière Black Hat.
Non. Le sujet est extrêmement vaste, et par conséquent des plus intéressants. Aujourd'hui, lorsqu'on parle de NAC, on pense tout de suite à Cisco qui évoque ce sujet depuis un moment. Mais ce n'est pas le seul acteur dans ce domaine, loin de là.
Cisco apporte sa solution dans son environnement. Le résultat est encore "jeune" et par conséquent pas totalement prêt. Mais il faut quand même leur reconnaitre le mérite de répondre à une problématique réelle.
Le besoin n'est pas du tout un simple concept marketing. Les annonces de Microsoft prouvent aussi que la demande est bien là.
Par contre la future coopération de ces deux géants m'inquiète un peu. Je préfère de très loin l'ouverture et l'originalité de l'approche de nouveaux acteurs tels que Consentry Networks, plutôt que celle des mastodontes de l'industrie qui "adaptent" leur existant.
Le fait que des failles aient été mises en avant dans la solution Cisco à la dernière Black Hat prouve qu'il y a de la place pour de nouvelles approches qui peuvent être très différentes.
Le NAC ne se résume pas simplement au contrôle d'accès. Il doit impérativement aussi prendre en compte l'accès aux ressources sur l'infrastructure.
Ceci dit, si malgré une solution de protection type NAC, des failles ont été trouvées, je vous laisse imaginer à quel point les réseaux internes actuels sont ouverts...
| |
|
 |
|
|
Il est difficile de couvrir tous les risques" |
|
Quelles sont les principales préoccupations des entreprises à l'heure actuelle sur le plan de la sécurité ? Intrusion, perte de donnée, panne, etc.
La préoccupation des entreprises est le maintien de leur activité. La sécurité au sens large représente un domaine de solutions qui permet ensuite d'éviter des coupures de services. La perte de données est et va devenir un sujet de plus en plus important, notamment là encore parce que la législation va impliquer la responsabilité des entreprises.
Les entreprises s'inquiètent-elles seulement maintenant des risques inhérents à la perte ou au vol de données ?
Je pense que le besoin est aujourd'hui bien identifié par toutes les entreprises qui manipulent des données sensibles et personnelles... Il est toujours facile de critiquer après incident, mais il est aussi difficile de couvrir tous les risques.
Le fait est que nous vivons de plus en plus dans une société numérisée et que l'information devient une donnée critique qu'il convient de protéger. Certaines entreprises ont mieux abordé ce problème que d'autres.
Le filtrage d'Url et la surveillance des flux semble gagner de plus en plus de place. N'est-on pas en train de légitimer la surveillance des salariés au nom de la sécurité des données ?
Le non filtrage d'Url peut mettre en cause la responsabilité d'une entreprise. L'entreprise doit donc se protéger, ce qui me parait bien légitime. Mais d'autres lois protègent les employés pour que l'entreprise n'utilise pas ces moyens à des fins différentes.
Une précédente question était relative à la perte ou le vol des données. Là encore, l'entreprise se doit de prendre des mesures de protection et par conséquent mettre en place les solutions adaptées.
Ce débat me rappelle celui des radars automatiques sur les routes, qui sont peu appréciés par la plupart des automobilistes. Mais le fait est que le nombre de victimes diminue. Les moyens de surveillance permettent donc d'arriver à un résultat concret.
Que conseilleriez-vous à une TPE ou une PME pour s'assurer de la robustesse de son SI ? L'infogérance seul recours lorsqu'on manque de moyens humains et financiers ?
N'importe quelle entreprise doit s'assurer de la qualité de son SI par rapport à un besoin métier. Il ne faut pas faire de la sécurité pour faire de la sécurité... Après analyse, si les moyens nécessaires pour répondre au besoin dépassent les capacités humaines de l'entreprise, l'infogérance me parait une excellente solution, plutôt que de ne rien faire et risquer un impact métier.
| |
|
 |
|
|
Il est plus facile aujourd'hui pour une entreprise de partir sur une solution à base d'offres commerciales classiques" |
|
Comment associer mobilité, nomadisme et sécurité ? Quelles solutions ?
Mobilité et sécurité devraient être systématiquement liées. Sans entrer dans le détail, on peut envisager la mobilité interne à l'entreprise et la mobilité à l'extérieur. Les solutions de sécurité pour la mobilité interne sont les approches de type NAC et RBAC (Role Based Access Control).
Les solutions de sécurité pour la mobilité externe doivent concerner la sécurisation du poste d'accès (par exemple, les solutions de protection d'un poste de travail type pare-feu personnel) et la sécurisation de la passerelle d'accès externe avec par exemple des solutions de type VPN SSL.
Est-il possible de bâtir une infrastructure sécurisée et complète avec simplement des produits Open Source ?
Question difficile mais intéressante même si ma connaissance du monde Open source n'est pas parfaite. La notion d'infrastructure me fait penser en premier lieu à l'aspect réseau et je crois que sur ce domaine, les produits Open Source sont assez limités.
Par contre, le monde Open Source offre plusieurs produits de sécurisation (firewall, firewall applicatif, filtrage Url, Antispam...) au niveau passerelle. Il est donc tout à fait envisageable de bâtir une solution à partir de ces offres.
Je pense que la véritable problématique est plutôt au niveau de l'exploitation, de la maintenance et de l'évolution. Sans parler des compétences en matière d'intégration globale nécessaires pour bâtir une infrastructure complète.
Même si c'est critiquable, il me semble qu'il est plus facile aujourd'hui pour une entreprise de partir sur une solution à base d'offres commerciales classiques, avec des notions claires et affichées de promotion, formations, services et maintenance.
|
En savoir plus |
|
| Telindus |
| Dossier Virus |
Lorsque vous êtes à votre domicile, faites-vous des transactions sur Internet ou jugez-vous cela trop risqué ?
Je crois que comme beaucoup de gens aujourd'hui, je fais régulièrement des transactions sur Internet sans avoir installé des surcouches de protection particulières.
Merci pour cette opportunité.
|
| |
Propos recueillis par Christophe AUFFRAY, JDN Solutions |
|
|
PARCOURS
|
|
|
| |
Stéphane Prophète, est chef de marché sécurité au sein de Telindus France
Il débuté comme ingénieur support réseaux. Après avoir assuré le suivi de clients importants comme SFR à l'époque des grands réseaux ATM, il a ensuite évolué vers un poste d'ingénieur avant vente spécialisé sur les solutions d'administrations de réseaux et les solutions de QoS. Depuis 2 ans, il occupe la fonction de chef de marché sécurité.
|
|
|
|
|
|
|
