Sécurité IT : le réveil a sonné

Focus sur un sujet majeur à Luxembourg: la sécurité informatique. […]

May 14, 2013

Focus sur un sujet majeur à Luxembourg: la sécurité informatique. Dans le secteur financier, la valeur de l’intégrité de la chaîne de l’information est primordiale. Rencontre avec Manuel Fischer, CIO et VP Operations de Cetrel. Une interview réalisée fin 2012 pour le CIOmag by ITnation.lu

Manuel Fischer est un des membres fondateurs de l’Advisory Board de CIONET Luxembourg. Il est également un des vingt demi-finalistes à l’élection du titre de CIO de l’année. Vous pouvez voter sur: www.itnation.lu/CIO2013

2012 aura été une année charnière dans les consciences en matière de sécurité informatique. On aura même introduit un nouveau mot dans le dictionnaire de la sécu : le hacktivisme…

CIO of the Year 2013Mais au-delà de la seule action du combat numérique pour des causes plus ou moins justifiées, le hack des vengeurs masqués d’Anonymous (e.a.) aura eu le mérite de mettre la sécurité IT sur la table des comités de direction des entreprises. En effet, à Luxembourg, on aura connu une année chaude sur le front de la sécurité IT avec un défacement incroyable du site ArcelorMittal.com ou par l’affaire du Medicoleak. « Le management de nos entreprises a soudainement pris conscience de l’impact sur le business que de tels exploits peuvent avoir ! », explique Manuel Fischer, CIO de Cetrel.

En fait, en vingt années de sécurité IT, on a surtout protégé, par des barrières, les systèmes d’informations sans pour autant évaluer le risque opérationnel, l’impact sur la réputation, et même des affaires. HSBC vient ainsi d’être victime d’une attaque en DDoS qui a entraîné l’indisponibilité de ses sites pendant de nombreuses heures. ING a subit des tentatives de phishing qui ont nécessité une communication large à la clientèle. L’an dernier, DigiNotar, l’autorité de certification hollandaise (le LuxTrust batave), a été victime d’une faille entraînant la production de certificats falsifiés… Cette situation a même emporté l’émetteur DigiNotar dans une faillite… La chaîne de la valeur avait été rompue.

Sans concession

Après ces cas flagrants, le management des entreprises n’hésite pas à interroger les CIO’s : « est-ce que cela peut se produire chez nous ? ». Or souvent les directions pensent que la sécurité absolue est possible et sans impact sur la qualité ou l’utilisation des produits. Elles n’arrivent pas à mettre le curseur sur l’échelle de la sécurité acceptable. « Dans le métier très particulier de la prestation de services de paiement, nous faisons de la sécurité, de la confiance et de la fiabilité, les trois valeurs à mettre au firmament, dit Manuel Fischer, EVP Operations et CIO de Cetrel. Nous ne pouvons faire aucune concession sur ces valeurs, même si nos systèmes traditionnels n’ont pas forcément été pensés sur ces trois piliers. »

Pour cela, les CIO et les CISO plaident pour une approche plus dynamique en matière de sécurité IT. « Nous cherchons à nous doter de systèmes intelligents qui peuvent être proactifs sur la question de la sécurité. Nous travaillons avec le SnT au sein de l’Université dans ce but. Au-delà des Best Practices qui sont l’expression de notre devoir professionnel, nous voulons travailler sur de nouveaux axes. Du côté des couches bases, au niveau des flux IP, nous analysons les trajectoires normales et anormales. Il s’agit de présenter un flux ayant une certaine schématique, une image, et de lui faire subir une pattern recognition : liens internes, liens externes, paquets, composants,… A un autre niveau, nous examinons les flux métiers de l’information. Il s’agit pour nous de regarder particulièrement les flux financiers, jusqu’à l’unité, pour pouvoir détecter la moindre fraude sur la moindre carte de paiement. Le challenge est important au regard de la masse de données que nous avons à traiter et pour y relever toutes les contradictions dans le near real-time. »

Pour Cetrel, la prochaine étape sera de faire état des corrélations entre ces deux niveaux de protection : flux IP et métier. « Nous sommes très exposés de par nature. Le hack criminel n’a qu’un seul objectif, trouver le chemin de l’argent. Or augmenter la sécurité sans compromettre la performance et la fluidité de nos services est un challenge. Nous tentons de mettre la sécurité incognito dans nos produits par une approche plus dynamique. »

Mais également de plaider aussi pour une plus grande collaboration entre les banques, les entreprises, les stakeholders privés et publics de la sécurité IT en raison de l’enjeu national que cela représente. « Nous sommes nombreux à faire la même chose, chacun de notre côté. Mutualiser nos expertises et approches, peut nous faire gagner en efficacité ». Les procédures PSF ne sont pas des procédures anti-hacking, illustre Manuel Fischer pour exprimer le décalage des perceptions entre le monde extérieur et les guidances des entreprises. « Luxembourg a un rôle à jouer. La stratégie de la confiance est la bonne mais nous devons passer à la vitesse supérieure. Cela passera aussi par le développement de produits qui feront l’objet dès leur création de réflexions sur les possibilités d’un usage détourné. Il faudra qu’ils intègrent l’acceptation d’un risque financier, business. Pour cela, il faudra aussi que l’on accueille des collaborateurs de nouveaux horizons, de cultures différentes, qui pourront aussi penser à la dimension sociale en matière de sécurité. Nous sommes dans une phase où tout se crée. A nous de la saisir… »

Watch video

In the same category