Pour sa seconde édition, l’ISACA Information Security Day, qui s’est tenu dans le cadre prestigieux de l’Abbaye de Neumunster a mis les pieds dans le plat sécurité. Les orateurs du jour n’ont pas manqué de se remettre eux-mêmes en question. Ce qui a visiblement plu à une audience particulièrement attentive et constructive.

« Nous ne pouvons plus nous contenter de travailler avec des choses que l’ont a designé il y a dix ans et que l’on a mis en place il y a cinq ans, attaque Mark Harris,VP SophosLabs & GEO Engineering de Sophos. Nous vivons dans un monde dynamique qui n’attend pas que nous évoluions. Ce qui est bon aujourd’hui en sécurité ne sera pas suffisant demain. »

Pour Kelly Richdale, VP Marketing and Sales d’ID Quantique, « ce n’est pas une question de menace, mais une question de probabilité. » Tout le monde est aujourd’hui sous la coupe d’une menace, mais les mises à exécutions sont difficiles à évaluer. « Ce qui est difficile à mesurer ce sont les possibles impacts de ces menaces. Pour cela il faut avoir à la fois une vision prédictive des choses, mais aussi réactive et sérieuse. »[slideshow id=6]

Man in the machine

Mais pour tous, le challenge le plus difficile à relever sera celui de l’éducation des utilisateurs. Pour Juha Kivikoski, Chief Operating Officer de Stonesoft, « ce qu’il faut patcher en premier lieu, c’est le keyboard ! » La question n’est pas tant de savoir si l’on est spécifiquement targetté par des malveillants, mais comment on s’y prépare.

Mark Harris de Sophos l’admet : « en tant que CISO nous avons eu beaucoup d’implémentations qui ont échoué simplement parce que nous n’avons pas conduit d’assesments concrets sur l’usage des solutions proposées. Aujourd’hui, il faut considérer si les solutions à mettre en œuvre sont scalables et si les personnes impliquées y sont bien formées ». Et d’enchérir : « si le CISO veut survivre, il faut qu’il devienne Risk Officer. »

Mon Cloud est mort

Pour les acteurs, qui ne manquent pas de rapporter les derniers cas qui ont alimentés la chronique des défauts de sécurité, on cite volontiers ArcelorMittal ou Sony… « Mais il faut bien garder en tête que la mission de Sony, ce n’est pas de sécuriser ses systèmes, mais de faire de l’argent », claque Christophe Bianco, VP & General Manager EMEA de Qualys.

On cite aussi MegaUpload en tant que prestataire de Cloud officiel et réglementé. Certes l’activité la moins licite ou la plus discutable de MegaUpload a fait chuter la maison de Kim dotCom, mais tous les services Cloud associés ont aussi été arrêtés. Qu’en est-il dés lors de la continuité et du transfert de propriété d’un service sur un prestataire à l’arrêt.

Un dossier que David Hagen dans l’assemblée connaît bien. Le directeur du secteur IT au sein de la CSSF a profité aussi de la venue de Steve Purser, Head of Technical Department de l’Enisa pour valider le concept du traitement de la menace à l’échelon européen voir national alors que le poids international et mondial est la valeur de ce genre de question. La démarche « réaliste » que soutient l’Enisa dans la façon d’implémenter les protections est celle qui est promulguée.

On the floor

Dans le tradeshow, la vingtaine d’exposants ont partagé les dernières tendances. On retiendra par exemple l’axe de la protection du browser, le nouvel OS, dirait Qualys. Entre les centres de données, c’est la tracabilité et le contrôle d’accès qui importe chez Cap Synergy, l’intégrateur strasbourgeois, notamment au regard des aspects normatifs d’un comité de Bâle ou d’un ISO27001 ou encore dans un contexte d’outsourcing.

Chez Trend Micro, c’est la sécurité en profondeur qui est au goût du jour. Sans agent, les serveurs sont capables de supporter 15 à 20 VM’s sans ralentissement par la dimension sécurité. Un choix proposé par Tecsys à DKV Globality, qui a témoigné de sa satisfaction, notamment dans un concept de VDI.

Pour NetGuardians, c’est la gestion du risque humain qui fait peser la plus grande menace ; une analyse comportementale est alors indiquée pour remonter les incidents. Chez F5, on craint les DDOS attacks. Avec la solution, on peut éviter que des plaisantins, des concurrents, des ennemis, masqués ou non, ne s’en prennent massivement à vos intérêts. Pour ID Quantique, c’est l’encryption rapide avec une AES256 on the fly qui permet de relier les échanges fibre de la meilleure manière, même dans un contexte de fibre noire.

La sécurité est donc au cœur de tout, mais à elle seule n’est rien. Tous ont compris l’importance du changement de mindset qui s’opère.