As­sises de la sé­cu­ri­té : sen­si­bi­li­ser pour mieux sé­cu­ri­ser

IT for Business - - SOMMAIRE - PIERRE LAN­DRY

La deuxième édi­tion du Grand Prix des RS­SI met un coup de pro­jec­teur sur les ini­tia­tives de sen­si­bi­li­sa­tion à la sé­cu­ri­té, sur la meilleure connais­sance de ses points de vul­né­ra­bi­li­té et sur le bug boun­ty. Re­vue des bonnes pra­tiques en la ma­tière.

Les As­sises de la sé­cu­ri­té sont l’un des grands ren­dez-vous an­nuels d’échange entre res­pon­sables de la sé­cu­ri­té – qu’ils soient RS­SI ou DSI –, ex­perts du sec­teur et four­nis­seurs de so­lu­tions tech­no­lo­giques. Mo­ment pri­vi­lé­gié, donc, pour dé­cou­vrir ou confir­mer des bonnes pra­tiques, en as­sis­tant aux té­moi­gnages de ses pairs lors de tables rondes, aux key­notes – dont celle, in­ti­tu­lée « An­ti­ci­pons pour ne plus su­bir », de Guillaume Pou­pard, di­rec­teur gé­né­ral de l’ans­si -, ou aux dif­fé­rents ate­liers pro­po­sés.

Ces bonnes pra­tiques, il faut les ex­po­ser, pour en faire pro­fi­ter les en­tre­prises de toutes tailles qui par­ti­cipent à « la grande chaîne de la confiance nu­mé­rique », telle qu’on la dé­crit souvent. C’est le but en par­ti­cu­lier de l’or­ga­ni­sa­tion, pour la deuxième an­née consé­cu­tive, du Grand Prix des RS­SI.

Le ju­ry était pour l’oc­ca­sion consti­tué de membres du Ce­sin (Club des ex­perts de la sé­cu­ri­té de l’in­for­ma­tion et du nu­mé­rique), du Clu­sif (Club de la sé­cu­ri­té de l’in­for­ma­tion fran­çais), du Ci­gref, de l’ans­si et de Thier­ry Oli­vier, RS­SI Groupe So­cié­té Gé­né­rale, lau­réat du Prix spé­cial du ju­ry l’an­née der- nière. Pré­sident du ju­ry, et par ailleurs pré­sident du Ce­sin et di­rec­teur de la sé­cu­ri­té du SI du groupe Caisse des Dé­pôts, Alain Bouillé pré­cise le par­ti pris lors des dé­li­bé­ra­tions : « sans écar­ter de prime abord les pro­jets pour les­quels des moyens consé­quents sont al­loués – d’ailleurs nous avions ré­com­pen­sé l’ini­tia­tive de Thier­ry Oli­vier l’an­née der­nière -, nous avons été plu­tôt en­clins à mettre en exergue des dos­siers, des pro­jets, pour les­quels les can­di­dats avaient des moyens si­non li­mi­tés du moins conte­nus. Ce qui est souvent im­por­tant, dans nos mé­tiers, c’est de pou­voir ana­ly­ser le ni­veau de sé­cu­ri­té at­teint et de ne pas avoir for­cé­ment dé­pen­sé tout l’ar­gent qu’on nous a don­né ».

Un pal­ma­rès très orien­té sur la sen­si­bi­li­sa­tion

Au-de­là des ou­tils, ce sont les uti­li­sa­teurs qui font la dif­fé­rence. Tous les RS­SI connaissent les piles tech­no­lo­giques du mar­ché (an­ti­vi­rus, pare-feu, sys­tèmes de pré­ven­tion et de dé­tec­tion d’in­tru­sion…) et leurs li­mites. En re­vanche, il est clair que les uti­li­sa­teurs du sys­tème d’in­for­ma­tion sont les cibles pri­vi­lé­giées des at­ta­quants, qui es­pèrent les uti­li­ser comme des vec­teurs d’en­trée dans le SI de l’en­tre­prise. Les sen­si­bi­li­ser aux dif­fé­rentes pro­blé­ma­tiques de la sé­cu­ri­té est alors un en­jeu ma­jeur pour les RS­SI. Les ini­tia­tives de cer­tains RS­SI, parce qu’elles va­lo­ri­saient et donc mo­ti­vaient les uti­li­sa­teurs, ont ain­si été ré­com­pen­sées.

Étran­ge­ment, ce pal­ma­rès du Grand Prix des RS­SI ne fait pas ap­pa­raître de pro­jets de sé­cu­ri­sa­tion d’ap­pli­ca­tions ou d’in­fra­struc­tures dans le cloud. Alain Bouillé l’ex­plique : « ce n’est pas un ou­bli ni une er­reur. C’est le re­flet des ca­té­go­ries de prix ins­tau­rées. La réa­li­té, c’est que le cloud est un su­jet de pré­oc­cu­pa­tion ma­jeur et que tous les RS­SI tra­vaillent des­sus, sans pour au­tant qu’émerge une meilleure pra­tique en par­ti­cu­lier. » D’autres su­jets semblent, pour leur part, dans une phase d’in­té­rêt as-

« Plus que le choix des piles tech­no­lo­giques, c’est le de­gré de sen­si­bi­li­sa­tion des uti­li­sa­teurs qui fait la dif­fé­rence » Alain Bouillé, pré­sident du ju­ry

cen­dant. C’est le cas de l’in­tel­li­gence ar­ti­fi­cielle, « es­sen­tiel­le­ment au tra­vers des so­lu­tions dé­li­vrées par les four­nis­seurs, et quand ce n’est pas uni­que­ment du mar­ke­ting… », et de l’uti­li­sa­tion, en­core em­bryon­naire, de la blo­ck­chain dans le do­maine de la sé­cu­ri­té.

Le pré­sident du ju­ry af­fiche tou­te­fois un re­gret :« alors­queje connais­beau­coup­ders­si­quiont dé­mar­réun­pro­je­tenl ama­tière,

les­dos­siers­re­çus­ne­pré­sen­taient pas­de­dé­mar­che­sau­tour­de­la­cy

ber-as­su­rance ». Le bug boun­ty, en re­vanche, se voit confir­mé dans sa per­ti­nence. « C’es­tu­ne­dé­marche ré­cente,in­no­vante.ilya­deuxans, au­mo­men­toù­les­pre­miers­pro­jet­son­té­té­pré­sen­tés,le­mon­dede la­sé­cu­ri­té­mon­trai­tu­ne­cer­taine ré­ti­cen­ce­fa­ceà­cet­te­pra­ti­quein­ci­tantdes“étran­gers”àp éné­trer nos­sys­tèmes.tou­te­fois,et­le­fait

de­par­ta­ge­rau­tourdes esex­pé­rien­ce­ses­tà­ce­ti­treim­por­tant,on consta­te­que­ce­la­de­vien­tu­ne­dé­mar­che­com­plé­men­tai­reaux­dé­mar­chest ra­di­tion­nel­les­dete st

d’in­tru­sion­me­née­se­ni nterne. » Et les centres opé­ra­tion­nels de sé­cu­ri­té (SOC) ? Une pra­tique dé­sor­mais « bien maî­tri­sée », que ce soit grâce à une ap­proche in­terne ou ex­ter­na­li­sée, se­lon Alain Bouillé.

Ci-contre, les RS­SI lau­réats et le ju­ry de l’édi­tion 2017 des As­sises de la sé­cu­ri­té. En 2017, les As­sises de la sé­cu­ri­té ont réuni 2800 par­ti­ci­pants, dont 1307 RS­SI et DSI, et été le théâtre de 175 ate­liers et confé­rences et de 5100 ren­dez-vous en one-to-one.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.