Christophe Canonne (Cyber Networks) : "Le NAC a été l'atelier le plus plébiscité par les RSSI"

En quoi a consisté la journée organisée, baptisée Le Printemps des RSSI ?

Elle rassemble principalement, comme son nom le laisse entendre, des personnes de la sécurité. Il n'y a cependant pas encore d'uniformité dans les entreprises, et il peut donc s'agir selon les cas du RSI, du DSI ou du RSSI. Dans les moyennes entreprises et celles du mid-market, la sécurité est encore majoritairement assurée par le directeur du système d'information.

Le Printemps des RSSI a pour but d'organiser et de proposer des ateliers conduits par des spécialistes de Cyber Networks. Les RSSI trouvent ici l'opportunité d'échanger sur différents thèmes et de partager leurs expériences. Et pour Cyber Networks c'est aussi l'opportunité de mieux percevoir le marché et d'avoir un état des réflexions menées au sein des entreprises.

Les ateliers terminés, l'après-midi était consacré à la détente, au partage d'un moment convivial autour de plusieurs activités, comme le golf, le tire à l'arc ou l'accrobranche.

Sur quelles thématiques ont porté les ateliers cette année ?

Il y avait 4 ateliers qui étaient le NAC, l'optimisation Wan, la sécurité applicative, l'audit de PRA / PCA et le management de la sécurité. Le contrôle d'accès a donc été le plus demandé par les participants. L'optimisation Wan, compte tenu peut-être du public, l'a été en revanche beaucoup moins.

C'est un sujet qui va toucher le réseau et sortir donc un peu du cadre pur de la sécurité, même si pour nous cela reste une problématique de son périmètre, à savoir assurer l'accessibilité aux applicatifs. L'optimisation Wan n'est également encore qu'une réflexion émergente qui est venue suite à la décision d'entreprises de mettre en place des datacenters.

Cette décision a eu pour effet de provoquer des temps de latence plus élevés qu'il devient impératif de traiter. Les outils sont là depuis 1 à 2 ans déjà, mais ils commencent véritablement à être matures. Nous pensons que c'est un marché qui va exploser l'année prochaine.

En ce qui concerne la sécurité applicative, le second atelier le plus plébiscité après le NAC, il illustre l'intégration de la composante sécurité sur des couches de plus en plus hautes. L'infrastructure est désormais plutôt bien maitrisée et les entreprises se penchent vers les failles de la couche applicative.

La finalité est de valider, en amont, les fonctionnalités d'un applicatif, sa position dans le SI pour définir certaines modalités de développement. Ensuite, interviennent la définition de la politique de sécurité, la sensibilisation des développeurs et des chefs de projet, et enfin l'audit pour contrôler ce qui a été finalement mis en place.

Les plus intéressés à ce domaine de la sécurité restent les banques et l'assurance, notamment du fait des contraintes réglementaires fortes qui pèsent sur elles. Mais il y a un autre secteur également qui est celui du commerce électronique. Quant à l'audit de PRA, de nombreuses mises en place ont eu lieu. Les entreprises en sont bien plus à leur maintient en condition opérationnelle qu'à leur définition.

Et qu'en est-il du dernier atelier, celui consacré au management de la sécurité ?

La question suscite un profond intérêt de la part des entreprises. Il y a plusieurs raisons à cela, dont un important volet humain afin de parvenir à maintenir le niveau de compétence, et ce dans le temps pour faire face aux attaques. C'est de plus en plus du 24 heures sur 24 et 7 jours sur 7. Cela conduit donc à s'interroger sur l'externalisation de la sécurité auprès de sociétés dont c'est la spécialité.

Une particularité toutefois : le découpage est moins évident que pour d'autres domaines du système d'information, la sécurité étant transverse. C'est la principale difficulté de l'externalisation. Les entreprises ont alors souvent tendance à confier la supervision des appareils de sécurité, puis à rajouter d'autres domaines, comme la corrélation d'alarme ou la gestion des vulnérabilités.

L'externalisation est un sujet sur lequel se posent beaucoup de questions, ayant trait notamment à ce que couvrent les offres des sociétés. Vous avez par exemple les opérateurs qui apportent la sécurité jusqu'aux portes de l'entreprise ou les grands infogéreurs généralistes comme Atos ou Capgemini qui proposent une couche sécurité. Et vous avez les MSSP - Managed Security Services Providers -, des intégrateurs tels que nous souvent, qui ont installé des équipements chez un client et proposent de le manager.