Muriel Gaspard, ICT Manager de Camca
reçoit des mains d’Emilie Mounier d’ITnation
l’exemplaire de ‘Confessions d’un hacker’

Les commentaires des membres d’ITnation

« Il est évident que l’insécurité informatique est directement proportionnelle à l’explosion du parc informatique au sein des entreprises, explique cet expert en solution de sécurité. Pour lui, le principal challenge pour une organisation consiste à mettre au point une politique de sécurité intégrée (couvrant tout les aspects de la sécurité, tant IT que business) tout en réduisant les inconvénients pour les utilisateurs mais en les conscientisant également du rôle que chacun d’entre eux doit jouer au sein de l’entreprise. Il s’agit ici d’un effort permanent nécessitant une capacité d’adaptation continue aux nouvelles menaces. »

Le Security Officer impuissant ?


Un security officer d’une banque luxembourgeoise va plus loin : « Je pense sincèrement que lorsque l’on met les moyens adéquats en oeuvre, la grande majorité de nos entreprises (banques comprises) peut être hackées dans les 30 jours. Nous investissons plus dans les mesures et les procédures de sécurité physique que de sécurité logique. Pourquoi? Probablement parce qu’avoir un garde G4S dans le hall d’accueil rassure plus nos clients que la mise en place de quelques obscures mesures techniques IT. »

« La sécurité informatique autour de moi est vulnérable, de plus en plus d’entreprises ne savent pas barricader leurs réseaux ou leurs informations, confirme un lecteur à Kinshasa, en République Démocratique du Congo. Plus d’une ne font pas même pas de miroring, ce qui entraînerait une perte de leurs données s’il arrivait malheur à leur serveur principal. Ils utilisent plus du relay, ne sachant que leurs informations peuvent être déroutées à tout moment par n’importe quelle personne malintentionnée. De plus, les salles abritant les serveurs ne respectent pas les normes. »

L’effort sécurité mal placé


Ce (très) jeune lecteur passionné d’informatique, Nathinath (13 ans), estime que les fournisseurs ne mettent pas l’effort là où il faut. « La sécurité des logiciels ou autres appareils développés par des sociétés même telles Apple, Microsoft ou d’autres… n’est pas à la hauteur des moyens financiers mis en œuvre pour lutter contre des actes de crack ou de jailbreak (pour Apple)… »

D’expert à expert


« Les plus gros problèmes de sécurité viennent des gens qui conçoivent et utilisent les systèmes de part et d’autres, constate ce spécialiste ICT. D’une part, trop d’utilisateurs naïfs sont mal éduqués sur les questions de sensibilité et confidentialité des mots de passe. Un mot de passe c’est comme une brosse à dent, on le change souvent et on le prête à personne. », en fait-il un slogan. D’autre part, « trop de (pseudo) informaticiens qui s’improvisent experts en sécurité … la sécurité est un métier à part entière et ne doit pas être confiée à des apprentis sorciers »

Disparité inquiétante


Ce professionnel, Sales Manager d’un prestataire de solutions en sécurité observe « dans les sociétés que je visite, des niveaux extrêmement différents d’IT Security ». Une maturité inégale particulière dans un secteur très exposé comme le secteur financier. « En fait, si tout le monde est d’accord pour dire que c’est important, la réalité des choses montre en effet des traitements très disparates. La sécurité des données n’est pas la plupart du temps une priorité absolue par rapport à la continuité du service, aux nouvelles applications et aux coût engendrés par la sécurité. En cause également, la disparité des solutions proposées par les différents fournisseurs et notamment par les grands constructeurs et éditeurs qui proposent des solutions peu compatibles avec les besoins sur le terrain. Ils imposent des solutions “propriétaires” faites par et pour des spécialistes. Ceci génère un grand sentiment d’impuissance parmi les IT Security managers qui sont souvent obligés de faire “comme si” ils étaient satisfaits. »

Du hype au hack


« La sécurité informatique est devenue depuis quelques années un hype faisant suite aux différentes “fuites”, détournements et publications d’informations hautement confidentielles voire même critique dans le cas des sociétés d’investissements et organismes financiers de grande réputation, revient cet autre expert. Ce type de faits s’est ensuite étendu à de grosses multinationales comme Swift, les réseaux sociaux tels MSN, Facebook pour finalement toucher les comptes non publiés des grandes institutions financières. On peut considérer que ces faits sont devenus défacto “un sport” de haute technologie dont finalement les leaders peuvent engager d’impressionnantes carrières dans le privé (cfr Ethical Hacking chez IBM qui en réalité une équipe d’anciens hackers résignés…). D’un autre côté, la multiplication et l’effervescence de nouvelles technologies ainsi qu’un retard certain dans les consolidations & évolutions informatiques, ce qui en réalité engendre de véritables chemins de traverse dans les réseaux et infrastructures. Il me semble donc impératif de réviser et de refondre les architectures informatiques afin de les rendre beaucoup plus homogène que dans le passé. »

Sécurité en vain


« Tant que la sécurité informatique sera considérée comme une branche technologique et non comme un comportement humain les retours sur investissements sécuritaires seront négatifs. La sécurité de l’information doit commencer par une estimation de la valeur des données à protéger, par une prise de conscience des risques et le choix d’une politique de sécurité… ce n’est qu’à ce moment que les informations ont une chance d’être protégées. Lorsque ce sujet sera traité hors du domaine technologie, le résultat sera visible. », enchaîne cet autre expert.

Sécurité, au compromis


« En tant que développeur, je n’ai aucun accès à des fonctionnalités toutes bête de mon PC (changer mon icône de souris par exemple). Est-ce normal ?, s’interroge ce spécialiste IT. Oui parce que trop de monde ne manipule pas correctement l’outil et “risquerait” d’ouvrir une porte à la malveillance (installation de logiciel, scripts bizarres…)? Non parce que des choses telles que changer son icône de souris, ou mettre la photos de ses enfants en arrière plan ne représente que bien peu (je dirais même pas) de danger. Pourquoi ne trouverait-on pas le compromis le plus adapté ? Bloquer tout n’est pas la solution, ne rien bloquer non plus… Et si … on faisait confiance ? »

Mais de toute façon indispensable


« Elle est indispensable et selon le contexte de l’entreprise mise en place ou inexistante…, note ce CIO. À Luxembourg et particulièrement dans le secteur financier, les audits et contrôles réguliers favorisent la mise en place, la révision et l’amélioration de cette sécurité informatique. Les entreprises du secteur financier doivent se conformer aux recommandations de la CSSF, de l’ABBL, de l’ACA et du Commissariat aux Assurances à ce sujet. Des audits réguliers et des tests d’intrusion peuvent être organisés pour s’assurer de la conformité des installations en place. À ne pas oublier non plus les tests réguliers et les mises à jour des sites de secours (PCA-DRP-BCP). »

Les intertitres sont de la rédaction. Un tout grand merci à Eric, Sébastien, Paul, Muriel, Marc, Nathinath, Roland, Charles, Raoul, Bonny… et aux autres participants !