Dominique Loiselet (Websense) Dominique Loiselet (Websense) : "Ce qui est fondamental c'est la donnée et la capacité à la protéger"

Pour le directeur France de Websense, le Web 2.0 est une opportunité et doit donc être autorisé par l'entreprise. La prévention des risques passe elle par le respect de règles de sécurité et l'analyse des contenus.

it loiselet
Dominique Loiselet (Directeur France - Websense) © Websense

En quoi consiste votre approche Essential Information Protection ?

L'approche de Websense, lancée en début d'année, est centrée sur la protection de l'information. Cette nouvelle génération de solution de sécurité ne se contente ainsi plus de protéger d'un point de vue périmétrique, mais place l'information au cœur du besoin. Depuis de nombreux mois nous insistons sur la nécessité pour les entreprises de protéger leur patrimoine informationnel sensible, notamment de l'erreur humaine, mais aussi de l'évolution importante vers le Web 2.0.

Qu'entendez-vous par Web 2.0 et comment cette tendance est-elle appréhendée en termes de sécurité ?

Le Web 2.0 c'est à la fois une richesse et un nouveau mode de communication sur Internet faisant un amalgame entre ceux postant des contenus et les consultant. C'est la principale opposition par rapport au Web 1.0 dans lequel les contenus étaient majoritairement mis à disposition par des professionnels.

Pour les entreprises, le Web 2.0 est simultanément source d'inquiétude et un vecteur très important d'amélioration de la productivité, et plus globalement de la performance. Les entreprises ont donc deux approches à l'égard des services Web 2.0, dont font partie les réseaux sociaux. Elles considèrent ainsi souvent, pour des questions de sécurité, que les salariés n'ont pas à y accéder. Or c'est une attitude de moins en moins possible.

"Il paraît difficile d'expliquer à un service RH qu'il ne peut pas utiliser des sites Web 2.0 pour recruter"

Il paraît difficile d'expliquer à un service RH qu'il ne peut pas utiliser des sites type LinkedIn pour recruter, d'interdire Facebook au marketing pour cibler une campagne ou améliorer sa connaissance du marché, etc. Notre leitmotiv c'est d'être une Yes Company pour que la sécurité ne soit pas perçue comme ce qui bloque et interdit. Le Web 2.0 rassemble des ressources importantes auxquelles nos solutions vont permettre d'accéder, tout en en sécurisant la pratique.

Avec quelles offres répondez-vous à cette problématique de sécurité ?

Le 26 septembre, nous avons lancé la Secure Gateway. L'idée était de descendre l'intelligence et notre connaissance du Web au niveau de la passerelle. Avec des sites dynamiques, constamment actualisés, les solutions antérieures étaient insuffisantes pour assurer la sécurité.

La Gateway va par conséquent analyser en temps réel l'ensemble du trafic généré par les utilisateurs de l'entreprise, classifier à la volée les pages et enfin inspecter leur contenu afin d'identifier la présence ou non d'un risque : frame, phishing, etc. Secure Gateway va devenir la pierre angulaire de notre approche, à laquelle se raccrochera notre application traditionnelle qui est Security Suite pour le filtrage d'URL et de protocoles, désormais en version 7.

Quelles nouveautés majeures introduit Security Suite v7 ?

L'interface et les capacités d'administration ont été sensiblement améliorées. Mais la vraie révolution c'est d'être capable de travailler avec la Gateway et d'analyser le protocole SSL pour apporter le même niveau de confiance sur le HTTP et le HTTPS.

Lorsque vous parlez d'adosser Security Suite et Secure Gateway, cela signifie-t-il que les applications fonctionnent via une console unique ?

La console est à la fois unique et distincte. C'est-à-dire que Security Suite va permettre de gérer la partie configuration de Secure Gateway, les politiques de sécurité et les droits. La Gateway étant aussi un proxy, deux consoles distinctes ont été conservées.

Les équipes infrastructures pouvant ainsi administrer les aspects proxy et cache, et les ingénieurs sécurité les éléments liés à la protection. A terme, il est vraisemblable, que l'ensemble des ces fonctionnalités seront rassemblées au sein d'une seule interface, avec des droits en fonction des utilisateurs.

Vous insistiez précédemment sur l'importance de la donnée dans la politique de sécurité. Comment couvrez-vous ce volet ?

"Un utilisateur sera autorisé à accéder à Facebook, tout en l'empêchant de poster en ligne des informations sensibles"

Nous le faisons par le biais de DSS, Data Security Suite 7, qui permet de définir des politiques basées sur les données. Il s'agit par exemple de définir pour des données sensibles, comme un rapport financier avant publication des résultats, qu'elles ne puissent être envoyées que par certains utilisateurs, via un ou des protocoles définis et vers un groupe d'utilisateurs identifiés, de façon à se prémunir contre les erreurs humaines et les menaces inconnues.

C'est un produit qui a remporté un succès sur le marché mais auquel manquait une composante essentielle : le poste de travail. A la sonde réseau nous avons ajouté un agent installé sur le poste. Préalablement, il n'était ainsi pas possible d'empêcher le copier-coller d'informations sensibles ou la sauvegarder sur un support USB.

DSS s'intègre aussi avec Secure Gateway. Dans la mise en place d'une politique, l'entreprise pourra définir les droits, le protocole et la destination. Cela permet d'offrir plus de souplesse. Un utilisateur sera autorisé à accéder par exemple à Facebook, tout en l'empêchant de poster en ligne des informations sensibles.

Si prévenir la fuite de donnée est intéressant pour les entreprises, des consultants en sécurité doivent souvent rappeler que le déploiement de ces solutions nécessite au préalable d'identifier les informations sensibles...

Le constat est juste. Nous répondons à cette problématique en décomposant le déploiement de DSS en trois phases. La première consistera à examiner le trafic, en toute transparence, par exemple sur un brin du réseau. La deuxième étape sera de comprendre qui envoie quoi, comment et à qui et de valider ces procédures avec les métiers, et la dernière, la protection.

Lors d'une démonstration chez un client, le DSI a identifié les numéros de sécurité sociale comme sensibles. Il a écouté le trafic sur cet indicateur. Au bout de deux semaines, il a été alerté par le transfert d'un fichier ZIP contenant l'ensemble des bulletins de salaire et les numéros de sécurité sociale.

Cette procédure était en effet externalisée, mais le DSI l'ignorait. Tout comme le DRH ignorait lui qu'un fichier ZIP n'offrait pas un niveau de sécurité suffisant. Ce client a ainsi pu identifier une faille dans un processus et définir une politique de sécurité adaptée : la Secure Gateway permettra le transfert de ces données qu'à partir du moment où celui-ci s'effectue de manière chiffrée. Cette approche donne la possibilité au RSSI de comprendre qu'elles sont les informations sensibles, qui les manipule et de discuter sereinement avec les métiers des processus à mettre en place.

Le secteur de la sécurité s'est récemment encore consolidé avec le rachat de Secure Computing par McAfee. Quel est votre sentiment sur cette acquisition ?

La stratégie est de dire que ce qui est fondamental c'est la donnée et la capacité à la protéger. Et il faut pour cela pouvoir répondre à quatre questions : qui envoie quoi, où et comment ? Si on regarde les grands acteurs de la sécurité, on s'aperçoit qu'au cours de l'année écoulée, tous ont investi sur la donnée, aussi bien Trend Micro, que Symantec, McAfee ou RSA.

Ils savaient déjà gérer l'utilisateur, le protocole, le comment, mais il leur manquait l'élément où. C'est une stratégie qu'a compris notamment McAfee. La concentration se fait en ce sens sur le marché.

D'autres rachats sont-ils à prévoir selon vous ?

Le marché boursier étant ce qu'il est à l'heure actuelle, les opportunités de réaliser des acquisitions sont facilitées. Pour répondre à une nouvelle approche de la sécurité, les acteurs peuvent soient perfectionner leurs produits, soit faire des acquisitions. La réactivité pour proposer des solutions sur le marché est nécessaire. Cette tendance combinée aux cours de bourse actuels favorise les rachats.

Cela fait par conséquent de vous à la fois une proie et un prédateur ?

Aucune société, hormis peut-être Microsoft ou Cisco, n'est à l'abri d'être rachetée. Les capitalisations boursières fluctuent rapidement en raison de la crise. Je n'ai en tout cas aucune information sur des plans de rachat de Websense.