C’est le Contre-Amiral Arnaud Coustillière, Officer Cyber du Ministère de la Défense, qui a clôturé cette première session des « Orange Security Day » qui s’est déroulée ce 9 avril 2013 aux Jardins de l’Innovation des OrangeLabs à Issy-Les-Moulineaux. Ce sont près de 140 personnes qui avaient fait le déplacement pour cette journée un peu spéciale durant laquelle Orange a levé le voile sur la place prépondérante de la sécurité dans sa stratégie et ses services.
« no-bullshit » et « no-marketing »
Le format se voulait dans un mode « no-bullshit » et « no-marketing ». Ce sont des experts de tous les horizons Orange (OrangeLabs, Direction sécurité Groupe, Technocentre , Orange France, Orange Mobile et bien sûr Orange Business) qui se sont relayés à des tables rondes animées par un Nicolas Arpagian au meilleur de sa forme.
un programme dense et un large spectre de sujets
Les sujets abordés durant cette journée étaient à la mesure de la variété des services proposés et des challenges qu’Orange doit relever :
- tendances autour des attaques en DDoS et techniques de protection intégrées au réseau
- sécurité des équipements mobiles et approches autour du BYOD
- retour d’expérience sur les méthodologies d’intégration de la sécurité dans les projets
- sécurisation du NFC via les applications embarquées dans les SIM mais aussi la sécurité des services en mode Cloud
Nous avons aussi eu la chance d’avoir le point de vue du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) avec une intervention intitulée « sécurité : ce que veulent les entreprises ». Je résumerai via quelques twitts choisis :
- "un RSSI en entreprise n'a pas vocation a pourfendre du hacker Chinois" (lien)
- "les RSSI doivent devancer les tendances technologiques" (lien)
- "il faut arrêter l'empilement des solutions sécurité sans se poser de questions sur leur efficacité" (lien)
gestion des identités, audits, tests de pénétration mais aussi sécurité opérationnelle
Je ne serai pas complet en oubliant la place prépondérante que va prendre la gestion des identités avec la tendance confirmée des services en mode Cloud. J’ai particulièrement apprécié les interventions d’Orange Consulting portant sur les constats faits sur une année de tests de pénétration (globalement ils arrivent à rentrer dans tous les systèmes en quelques heures) et autour des démarches de conformité et de certifications sécurité (le « BigData des certifications et réglementations est là ! »).
La place de la sécurité opérationnelle avec des structures de SOC (Security Operating Center) va prendre une place encore plus prépondérante. Pourquoi ? Car une fois de plus, le « tout sécurisé » n’existe plus (s'il a jamais existé). Cela a bien été résumé par Vivek Badrinath lors de son discours d’ouverture : « un bon expert en sécurité est une personne souvent attaquée ».
l’humain et l’organisationnel
Le côté humain et organisationnel a été prépondérant dans les échanges : oui le problème se situe quasiment toujours entre la chaise et le clavier. La sensibilisation, la formation via le e-learning sont des facteurs clefs d’une stratégie sécurité efficace.
Les interventions du RSSI du groupe Orange et du CSO d’Orange Business ont été l’occasion d’entrevoir comment un groupe du CAC 40 a pu s’organiser de façon à faire vivre la sécurité et assurer fluidité et cohérence dans les prises de décisions et dans leur mise en œuvre.
le coté social était à l’honneur
Lors de cette journée, les réseaux sociaux étaient aussi présents et sur de multiples fronts. Le blog sécurité était dignement représenté tant par la présence des bloggers que de l’équipe des réseaux sociaux qui en a profité (of course !) pour mettre dans leur boîte magique des interviews d’un grand nombre de personnes : les « after-hours » sur le blog devraient être intéressants !
Mais au-delà du blog, la démarche du groupe Orange quant à l’ouverture des réseaux sociaux a aussi fait partie des interventions dans la journée. Les employés du groupe Orange ont accès aux réseaux sociaux, tout cela étant encadré et organisé d’une façon conservant tant le côté « fun » et « social » tout en restant cadrées et structurées. Pour en savoir plus, allez jeter un œil aux « Social Media Guidelines » et contactez l’un de nos « Social Media Champions ». :-)
Tout au long de la journée, nous avons relayé les interventions sur twitter via le hashtag #OSD13. Cela a permis aux personnes n’ayant pu être présentes de suivre et d’échanger sur différents sujets. N’hésitez-pas à aller jeter un œil sur ce qui s’est dit ! Je finirai en remerciant @johnmikeinparis pour avoir joué le jeu avec nous sur Twitter : au plaisir de se croiser dans la vraie vie !
thank you !
Un « thank you » à toutes les personnes d’Orange qui grâce à leur participation direct ou indirecte ont fait que cette première session des « Orange Security Day » a été un tel succès. Je ne citerai pas de noms mais vous saurez vous reconnaître. :-) Merci aussi à tous les participants et aux intervenants : sans vous cela n’aurait pas été la même chose.
Jeff
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens