JDNet
Solutions : Quels vont être les domaines d'activités de Trustvision
?
Régis Rocroy :
Nous allons uniquement proposer du conseil et des services, répartis
en trois principales gammes complémentaires : la sécurisation
des infrastructures réseaux et des systèmes, la sécurité
des applications et des transactions e-business, et enfin l'administration
des architectures de sécurité. Pour être plus précis,
la première ligne concerne la sécurité de l'accès
aux réseaux Internet, intranet et extranet, la seconde adresse
des problématiques plus spécifiques aux portails et aux
places de marché, et la troisième permet de maintenir l'architecture
de sécurité à un niveau donné dans le temps.
Car la sécurité constitue une activité qui se dégrade
dans le temps, et c'est pourquoi il faut la maintenir tout en surveillant
son architecture.
Quel
est votre positionnement face à des acteurs comme CMG Admiral,
HSC et Integralis ?
Nous nous positionnons sur les problématiques de sécurité
qui ont un rapport avec l'e-business et le m-commerce (commerce mobile).
En comparaison, CMG Admiral est un généraliste qui n'intervient
pas que sur des problématiques de sécurité. Integralis
est un intégrateur d'origine britannique qui a fusionné
avec Artikon, et leur approche est orientée technologie et produits.
Enfin, HSC est un cabinet indépendant en France, qui développe
une expertise et un savoir-faire technologique
mais n'accompagne pas les clients sur les projets en matière de
sécurité. En ce qui nous concerne, nous accompagnons le
client de façon complète sur son projet, ce qui suppose
une analyse des risques, une assistance dans l'élaboration de la
politique de sécurité, la mise en place des architectures
adéquates et enfin le contrôle sécurité.
Intervenez-vous
aussi sur les risques internes à l'entreprise ? Et sur les
risques physiques qui font partie du domaine d'application d'une politique
de sécurité globale ?
La demande ne se porte pas sur la sécurité interne, sauf
peut-être dans le contexte de la mise en place d'un portail. Ceci
dit, nous couvrons tous les actes de malveillance qu'ils soient internes
ou externes. Mais nous ne traitons pas les risques physiques dus par exemple
aux catastrophes naturelles, à des grèves ou à des
pannes d'électricité.
Même si nous intervenons rarement dans ce contexte, nous pouvons
aussi aborder les aspects techniques en interne. Mais la meilleure réponse
dans ce domaine reste la sensibilisation et non la technologie. Quel que
soit le système de sécurité mis en place, un employé
qui veut nuire peut facilement le contourner. Et la réponse est
rarement technologique. Bien sûr, il est possible de contrôler
comment les employés utilisent les ressources informatiques, mais
il faut d'abord traiter les vulnérabilités humaines. Aujourd'hui,
sur le marché, il existe des sociétés spécialisées
comme XP Conseil qui travaillent sur les aspects liés à
la sensibilisation des individus. Et la prise en compte des facteurs psychologiques
intervient en continuité avec nos services.
En
matière d'externalisation par exemple, quels sont les garanties
que vous apportez sur votre fiabilité ?
Il existe une différence entre l'externalisation, qui consiste
à confier ses systèmes de sécurité à
un prestataire, et la démarche de s'attacher les services d'une
société comme nous, spécialisée dans la sécurité.
Concernant notre fiabilité, l'équipe de Trustvision est
composée de personnes connues sur le marché. Sur un plan
déontologique, nos spécialistes sont contraints de respecter
des clauses très fortes en matière de confidentialité,
et qui sont liées à nos prestations à l'égard
de nos clients.
Quels
besoins identifiez-vous autour du conseil en sécurité des
systèmes d'informations ?
Aujourd'hui, les besoins auxquels nous sommes le plus fréquemment
confrontés concernent la sécurité des applications
e-business. Certaines questions reviennent souvent de la part des clients
: "que dois-je faire pour pouvoir administrer la sécurité
de mes systèmes ?", "lorsque j'engage des investissements,
dois-je tout revoir au bout d'un mois ?", ou même "comment
mettre en place une politique de surveillance ?".
D'une manière générale, il faut sécuriser
(1) les accès, (2) les échanges et (3) les transactions.
Et nous avons regroupé tout cela en lignes de services complémentaires
: l'administration des architectures de sécurité, et la
sécurisation des applications et transactions e-business.
Quelles
différences existe-t-il entre la sécurisation des "échanges"
et celle des "transactions" ?
D'abord au sujet des échanges, il s'agit d'assurer la communication
au niveau IP à travers un outil VPN (de réseau privé
virtuel) qui intègre IPSec. Et au niveau du flux applicatif, c'est
la technologie SSL qui va prendre le relais, notamment par le recours
au protocole Https.
Ensuite intervient la notion de transaction, qui suppose celle de requête/réponse
en temps réel, et consiste pour l'utilisateur à remplir
un formulaire et à le faire valider au sein d'un processus. Typiquement,
la demande la plus courante ici sera d'assurer l'authenticité et
la non répudiation d'un formulaire, notamment par un procédé
de signature électronique.
Infrastructure
PKI, carte bancaire, token... quel est selon vous le meilleur moyen d'authentification
?
L'infrastructure PKI ne fournit pas un service de sécurité
mais gère les clefs et les certificats. Pour signer un formulaires,
d'autres technologies sont fournies par des acteurs différents,
comme Celocom, racheté par Gemplus, l'éditeur européen
d'origine allemande Utimaco, et la société belge Ubizen.
Ces éditeurs fournissent des technologies modulaires de signature
qui s'appuient sur un PKI, et ce n'est pas le PKI qui permet la signature
mais ce composant spécifique.
Si
les fournisseurs sont différents à chaque fois, ne pensez-vous
pas qu'il soit compliqué de mettre en oeuvre un système
d'authentification complet ?
En effet, aujourd'hui, les clients se montrent le plus souvent totalement
perdus face à ces technologies différentes et complémentaires.
Et nous venons avec ce souci d'apporter une vision globale de la sécurité,
qui permette au client de investir de façon plus cohérente
et efficace.
L'intégration
d'une infrastructure PKI peut s'avérer très laborieuse.
Quelles solutions apportez-vous ?
Nous retrouvons les PKI à la fois au niveau de la sécurisation
des applications et des transactions. Aujourd'hui, l'intégration
de ce type d'infrastructure peut s'avérer très coûteuse
pour l'entreprise, aussi bien en terme de conception que de mise en oeuvre.
La réponse du marché par rapport à cela réside
dans la fourniture de middleware de sécurité, qui sont des
modules simples à mettre en oeuvre s'appuyant sur les PKI. L'application
au dessus utilise le middleware de sécurité pour chiffrer
ou signer, et en dessous la PKI gère les clefs des certificats.
Ainsi, l'implémentation dans l'entreprise s'avère beaucoup
plus facile.
Selon
vous, quels budgets doivent être consacrés à la mise
en oeuvre d'une politique de sécurité globale ?
Sur le plan financier, les ordres de grandeurs se situent aux alentours
de plusieurs millions de francs pour les grandes entreprises. Derrière,
si je devais ventiler un tel budget, je dirais qu'il faut consacrer environ
15 % à l'analyse de risques, 15 % à la définition
de la politique de sécurité, 50 % sur l'implémentation
de l'architecture, et 20 % sur le contrôle sécurité.
Comme nous le voyons, les coûts les plus importants ne sont pas
liés à l'acquisition des technologies, mais plutôt
à l'administration et à la mise en oeuvre. Il suffit de
regarder le salaire annuel moyen d'un responsable de la sécurité
des systèmes d'informations, qui est compris en général
entre 500 kf et un million de francs.
Quel
est le rôle du tiers de confiance et pour quelle part compte-t-il
dans le budget ?
Avec un tiers de confiance, il est possible d'externaliser dans de bonnes
conditions la gestion des clefs et des certificats. Ces opérateurs
de services apportent une réponse lorsque la gestion des cycles
de certification est confiée à un tiers. Typiquement, il
ne reste plus chez le client que le module d'enregistrement des utilisateurs.
Mais un tiers de confiance nécessite des investissements énormes
avec des retours à calculer sur plusieurs années. Confier
la gestion de sa PKI à un tiers externe nécessite de sa
part le fait de posséder des bunkers avec de hauts niveaux de sécurité
physique et logique, et la présence de grands acteurs sur ces technologies
pour amener la confiance.
Existe-t-il
des sociétés d'assurance spécialisées dans
le recouvrement des risques en matière de sécurité
des systèmes d'informations ?
Aujourd'hui, la question se pose en effet de la couverture des risques
d'intrusion, ou même des attaques de déni de service par
les sociétés d'assurance. En dehors de France, il existe
des réponses proposées par des sociétés comme
la Lloyd's en Grande-Bretagne.
Mais cela suppose un certain nombre de conditions, comme le fait que l'architecture
de sécurité du client soit surveillée en 24/7. Et
ici, la Lloyd's signe un partenariat avec une société spécialisée
dans les infrastructures de sécurité, qui les surveille
en permanence. Mais en France, aucun assureur ne propose de couvrir ce
type de risques, hormis dans le domaine des achats sur Internet mais il
s'agit d'un sujet différent.
Comment
éviter l'existence larvée de failles de sécurité
lors d'un développement applicatif ?
Il existe une série de règles simples à respecter,
comme le fait de contrôler ce qui peut être saisi dans une
URL, à l'intérieur de laquelle il est possible de faire
passer des caractères erronés. Et le simple contrôle
de cette URL permet d'éviter l'exploitation de vulnérabilités
par ce biais. Au total, une bonne vingtaine de règles doivent être
respectées au cours d'un développement applicatif. Et avant
la mise en production de l'application, il est possible de passer en revue
son code à l'aide d'outils capables d'identifier les failles de
sécurité.
Vous
citiez le m-commerce comme l'un de vos deux principaux domaines d'intervention.
Quels sont les risques majeurs liés aux technologies mobiles ?
Les attaques peuvent être lancées sur des terminaux mobiles,
sur des cartes à puce ou des plates-formes d'échanges. Pour
chacune des cibles, les techniques d'attaques sont différentes.
Et je peux vous citer quelques exemples de risques, comme le vol de clefs
privées directement sur le terminal, ou même la compromission
d'une passerelle de communication. En fait, nous retrouvons toutes les
problématiques que nous adressons à travers nos trois lignes
de services. Mais les risques seront beaucoup plus importants lorsque
le Wap fonctionnera sur GPRS. Car actuellement, le Wap n'est pas mort
mais n'est pas non plus très efficace.
Voyez-vous
d'autres domaines clefs qui vont émerger en terme de sécurité
?
A part les domaines que nous avons déjà évoqué,
ce qui me paraît important est le contrôle du contenu des
flux web et mail. Le besoin est déjà très important
aujourd'hui, et ce type de contrôle nécessite forcément
la définition d'une politique de sécurité, liée
au contexte intranet ou extranet et aux flux en question. Or, si ce domaine
ne concerne pas l'administration de l'architecture de sécurité,
il pose d'autres problèmes notamment en terme de législation.
Il faut à la fois prendre en compte les aspects organisationnels,
humains, juridiques et techniques pour définir une bonne politique
de sécurité. Et ce sont les domaines de compétence
des responsables sécurité dans l'entreprise.
A 33 ans,
Régis Rocroy est le directeur du développement de Trustvision, filiale
du groupe Net2s qu'il a intégré en janvier 2001. A l'issue
d'une double formation technique et commerciale, il a piloté durant 6 ans
des projets de migration en environnements hétérogènes et distribués pour
le compte d'intégrateurs réseaux et systèmes. Pendant 4 ans, au sein du
cabinet XP Conseil, il a mené de nombreuses missions de conseil et d'audit
sécurité pour de grandes entreprises. Son expérience et son expertise lui
permettent à présent d'aborder la sécurité des systèmes d'information
et de communication avec une approche globale et cohérente.
|