|
Interviews |
|
Eric Battistoni
|
Directeur
Stratégie |
Risc
Technology
|
"Je
crois que l'on va parler de plus en plus de sécurité orientée
Transactions" |
|
Grossiste à valeur ajoutée spécialiste
de la sécurité, Risc Technology est un acteur
plutôt bien placé pour observer les principales
tendances de ce marché. VPN, SSO, PKI... Le point
avec le directeur de la stratégie.
|
Propos recueillis par
Cyril Dhenin le 18 septembre
2001
. |
Après
avoir eu une résonnance très "sécuritaire",
les solutions de sécurité semblent désormais
répondre à des problèmes de gestion
des utilisateurs. Comment l'expliquez-vous ?
Eric Battistoni:
Je suis plutôt
d'accord avec votre constat. Dans un premier temps, s'occuper
de la sécurité informatique, c'était
d'abord empêcher l'intrusion sur son réseau,
notamment en déployant des firewalls. Aujourd'hui,
les firewalls ne sont plus qu'une brique parmi d'autres
dans le dispositif de sécurité. Et pour
une raison simple: en s'élargissant aux clients
et partenaires, le système d'information ouvre
de plus en plus de "portes", ce qui multiplie
les vulnérabilités. Pour s'en convaincre,
il suffit d'observer que tous les sites attaqués
récemment étaient bien équipés
de firewalls...
Sur
quelles tendances technologiques débouche cette
ouverture inévitable du système d'information
?
J'en vois au moins deux. Primo, la sécurité
n'est plus seulement l'affaire de la couche réseau
mais monte dans les applications ; ce qui importe désormais,
c'est de protéger l'accès aux applications
et non plus seulement à l'infrastructure réseau.
Je crois que l'on va parler de plus en plus de la sécurité
"orientée Transactions". Secundo, avec
le développement des extranets, il est clair que
la sécurité doit s'appuyer sur des outils
de gestion qui fournissent une vue globale du dispositif.
Bon
nombre d'acteurs de la sécurité présents
sur le salon observent que le marché des VPN (réseaux
privés virtuels) se porte plutôt bien. Quel
regard portez-vous sur l'évolution de ces projets
?
Les VPN ont pris leur envol en deux temps. D'abord, pour
prendre en compte les nomades de l'entreprise, ensuite
pour répondre aux besoins de communications inter-sites.
Le marché du VPN connaît en fait deux sous-ensembles:
les VPN assurés par les opérateurs et ceux
déployés en interne en s'appuyant sur les
extensions VPN des firewalls. Dans les deux cas, les technologies
qui permettent la mise en oeuvre d'une communication chiffrée
point à point via un réseau sont éprouvées.
En revanche, les VPN peuvent présenter des vulnérabilités
à leurs terminaisons.
Vous
voulez-dire que le poste de travail au bout du VPN représente
le maillon faible ?
Absolument. D'où l'intérêt pour le
déploiement de solutions d'authentification fortes
qui, via une clef USB par exemple, embarquent des certificats
numériques, identifient l'utilisateur et lui ouvre
ou non l'accès à des applications.
En
s'appuyant sur des infrastructures à clefs publiques
(PKI) ?
Je crois qu'il faut bien dissocier les problèmes.
Rien n'empêche une entreprise de recourir à
des certificats numériques sans passer dans un
premier temps par un tiers. La question du tiers de confiance
peut être posée dans un second temps. D'autant
que les entreprises sont juste en train de découvrir
les questions organisationnelles que posent le déploiement
de telles infrastructures...
Autre
sujet d'actualité, le SSO (Single Sign On ou login
unique sécurisé). Est-ce un besoin réel
et comment se structure l'offre ?
C'est en effet un besoin qui se dessine dans le sillage
des portails d'entreprise. Côté offre, chez
Risc, nous ne travaillons pas vraiment avec des solutions
dédiées au SSO. Pour nous, c'est plutôt
une question d'architecture que nous traitons avec les
serveurs d'applications, les annuaires, etc. Et nous n'oublions
pas de rester réaliste... Le SSO absolu, c'est
à dire l'accès depuis un seul login à
l'ensemble des applicatifs de l'entreprise relève
plutôt du mythe. Des raisons techniques mais aussi
organisationnelles font que, dans la réalité,
le SSO couvrira au mieux l'accès à 80% des
applicatifs.
|
|
|
|
|
|
|