| Théodore-Michel Vrangos (Cyber
Networks) : " "Je crois à un dégel des projets de PKI"" Par le JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/itws/011128_it_vrangos.shtml
Intégrateur, spécialiste de la sécurisation des infrastructures e-business, Cyber Networks intervient sur un éventail assez large de problématiques: du déploiement des outils de sécurité traditionnels (firewalls, VPN...) à la sécurisation des applications en passant par celle des annuaires et messageries. Un champ d'intervention qui permet à son pdg Théodore-Michel Vrangos d'avoir un point d'observation digne d'intérêt sur le marché. Propos recueillis par Cyril Dhenin le 28/11/2001 |
Quels sont les demandes qui, en matière de sécurité, vous semblent devenir de plus en plus présentes ? Théodore-Michel Vrangos: J'en vois au moins trois: la sécurité des applications, la supervision à distance et les projets PKI. Sur ces projets-là, l'intérêt des utilisateurs est croissant. Qu'entendez-vous par "sécurité des applications" ? Généralement quand les entreprises veulent sécuriser une application, elles pensent à l'outillage habituel - aux firewalls par exemple - mais omettent parfois de se pencher sur l'application même: comment le dialogue est-il orchestré entre le serveur d'application et la base de données ? Les URL critiques sont-ils masqués ?, etc. A défaut d'un tel audit de sécurité, une application peut présenter des failles béantes, surtout quand il s'agit d'un logiciel interfacé avec un existant et qui a subi de nombreuses migrations. Pour un directeur informatique, il n'est sans doute pas évident d'expliquer à sa direction que les firewalls ne font pas tout, qu'il faut aussi consacrer un peu de budget à la sécurité intrinsèque des applications. Cela dit, ces demandes progressent sensiblement. Concernant la supervision à distance, faut-il comprendre que vous assurez l'externalisation de la fonction de responsable sécurité (RSSI)? Non. Nous travaillons pour des grands comptes qui ne vont évidemment pas externaliser leur RSSI. En revanche, ils sont en quête d'un second regard et d'une assurance technique. A distance, nous leur proposons donc par exemple de superviser leurs logs pour y déceler d'éventuelles anomalies. Cette fonction de SSP (Security Service Provider) connaît une bonne croissance. Vous avez employé le terme "d'assurance", jusqu'où avez-vous poussé la logique ? Nous avons un partenariat avec le courtier en assurance Marsh. Celui-ci a élaboré une méthodologie, nommée Net Scoring, qui attribue une note à une entreprise en fonction de son niveau de sécurité et de la sensibilité de ses informations. Cette note sert ensuite à calculer les barèmes d'assurance et peut être revue en fonction des nouveaux dispositifs de sécurité qui sont déployés. Vous citiez les PKI, les infrastructures à clef publiques, parmi les projets de sécurité que vous sentiez frémir ? Pour le moment, ces projets semblent toutefois timides... C'est vrai mais je suis assez optimiste pour les mois à venir et je crois vraiment à un "dégel" des projets PKI. Le décret sur la légalisation de la signature électronique semble jouer le rôle d'accélérateur, vu les projets que nous avons en cours. Vous n'avez pas cité le SSO (Single Sign On, login unique sécurisé). Ce n'est pas une préoccupation du moment ? Nous avons déjà eu une vague de gros projets de SSO qui se sont soldés la plupart du temps par des échecs. C'est vrai qu'on observe un certain retour de ces projets mais sous un angle bien différent. Cette fois, il s'agit de projets plus modestes et, surtout, qui s'adossent à l'élaboration d'annuaires, souvent conformes au protocole Ldap. Une approche qui semble assez saine. Dernière question, depuis les événements du 11 septembre, avez-vous observé une inflexion du marché ? La semaine qui a suivi, ce fut le calme plat: pas un coup de fil, pas une commande. Puis, assez vite les choses sont revenues à la normale. D'autant plus que ces événements ont débloqué pas mal de petits projets, par exemple pour sécuriser une liaison entre des sites mirroirs ou encore pour finaliser des plans de secours. Des réflexes assez naturels, en somme. Avant de co-fonder Cyber-Networks en 1996, Théodore-Michel Vrangos a été co-fondateur directeur général en charge de l'activité conseil en réseaux et télécommunications de la société DATASTAFF Ingénierie (devenue Dimension Data France). Il a démarré sa carrière en tant qu'ingénieur d'affaires, puis Business Manager au sein du Groupe Générale des Eaux (Vivendi) à Paris et à Londres. Ingénieur, Théodore-Michel Vrangos est diplômé de l'ESIEE et est également détenteur d'un Master of Science en technologie de l'information de l'Université de Manchester. |