Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Assises 2012: L'importance de dire non... quand c'est possible

Par Ludovic Blin, secuobs.com
Le 30/10/2012


Résumé : L'édition 2012 des assises de la sécurité met indirectement l’accent sur l'importance du facteur humain, cause de bien des soucis pour les RSSI.



Que ce soit pour récupérer une erreur réalisée par un collaborateur entraînant la compromission de l'entreprise, ou encore pour interdire au directeur général d'utiliser son matériel personnel sur les infrastructures de l'entreprise, le responsable sécurité informatique aura fort à faire avec le facteur humain.

C'est une des conclusions qui vient à l'esprit après l'édition 2012 des assises de la sécurité, qui se sont déroulées au début du mois à Monaco, et la lecture des divers commentaires qui les auront accompagnés.

On note ainsi une certaine levée de bouclier de plusieurs bloggers à propos de l'évènement (et de certaines pratiques du secteur). L'empilement de produits ne peut résoudre aucun problème, au contraire. De la même manière, les participants ont besoin d'un niveau technique plus élevé.

Rien de bien neuf donc depuis le discours de l'année dernière de Patrick Pailloux, le directeur de l'ANSSI ( lien ), bien qu'il note cette année une certaine prise de conscience de la part de plusieurs acteurs. Le discours est sensiblement le même (avec de plus la sortie d'un guide pratique de l'hygiène informatique), mais son thème principal, "osez dire non", touche finalement l'essence du problème, le facteur humain.

En effet, il n'est pas toujours facile, ou possible, de dire non, et c'est bien la le souci. Il est d'ailleurs utile d'envisager des solutions permettant de ne pas dire non, ou le moins possible ("oui mais …").

Il semble également que les temps changent. L'augmentation des budgets alloués à la sécurité informatique, d'année en année, semble se stabiliser. Le discours sécuritaire est moins en vogue, et les utilisateurs probablement de plus en réticent à se soumettre à des contraintes.

Ainsi, la mode du BYOD (Bring Your Own Device) continue à se développer, malgré qu'elle soit un non-sens en terme de sécurité informatique. Elle correspond en effet à une attente des utilisateurs finaux, que les éditeurs s’empressent bien évidemment de vouloir satisfaire. Il peut paraître ainsi plus sage d’encadrer cette pratique avec des procédures et outils adaptés, comme par exemple ceux de la société française Mobiquant qui a reçu le prix de l’innovation des assises en 2008.

Cette année, le prix a été remis à la société Picviz. Elle est éditrice d’un outil de visualisation graphique permettant de remarquer des éléments intéressants dans des quantités énormes de logs. La encore, le facteur humain est présent, puisqu’il est difficile de demander à des humains d’analyser des milliards de lignes de log « brut ». Par contre, cela est beaucoup plus facile en utilisant des outils graphiques.

Le secteur industriel, qui est passé en peu de temps de systèmes propriétaires à des composants informatiques standard, est également une source d’inquiétude en terme de sécurité informatique. En effet, dans ce domaine les attaques virtuelles peuvent avoir des conséquences physiques importantes, et la culture informatique (et a fortiori sécurité informatique) est peu présente.

Enfin, l’espionnage économique est également toujours une préoccupation, qui est de plus en plus présente dans le discours des éditeurs au travers du terme APT (advanced persistent threat). Au delà de l’acronyme, ces menaces existent depuis longtemps mais ont longtemps été ignorées. Cependant il est probable que de grandes entreprises françaises aient perdu certains gros contrats à cause d’informations volées de cette manière.

Il est donc probablement important de répéter que la sécurité est souvent avant tout dépendante du facteur humain (compétences, formation, implication des équipes techniques et des utilisateurs) et des process. L’équipement a également son importance, et pour cela un événement tel que les assises de la sécurité reste incontournable car il permet de voir de nombreux acteurs du secteur en peu de temps. Il serait néanmoins utile de profiter de ce rassemblement de responsables informatique pour « élever le niveau », d’autant plus que le secteur a largement recruté ces dernières années.

Le compte rendu de Bruno Kerouanton : lien

Le compte rendu de Cédric Blancher : lien

L’avis de Newsoft : lien

La société Mobiquant : lien

La société Picviz : lien

Les assises de la sécurité : http://www.lesassisesdelasecurite.com/