Les assises de la sécurité : suite et fin

Mais pourquoi la première keynote doit-elle avoir lieu à 8h30 ? Je soupçonne un mauvais génie de vouloir tester la motivation et la résistance des participants ! Première keynote de la journée, donc, qui donne finalement le ton de la vision « opérateur » sur la question sécurité : capitaliser sur les infrastructures existantes et les équipes expérimentées pour ouvrir des services à fortes valeurs ajoutées et accompagner les clients finaux sur un périmètre élargi.

Les courants sous jacents

Certaines thématiques n’ont été que peu abordées de façon frontale dans les ateliers mais ont été citées à de nombreuses reprises. La nécessité de fournir des indicateurs fiables aux équipes en charge de la gouvernance fait partie de ceux-là. Ce sujet a été abordé sous tous les angles possibles : de la collecte des données, jusqu’à l’introduction des techniques de business intelligence pour extraire le maximum d’informations pertinentes. La création de dashboards sécurité adaptés aux différents niveaux de hiérarchie, de l’expert technique au CEO, a été un motif récurrent qui devrait s’imposer peu à peu pour affiner le pilotage et les décisions.

Et la téléphonie ?

Un sujet plus inhabituel abordé durant cette dernière journée a été les problématiques de sécurité et plus spécifiquement de fraude dans les environnements de téléphonie. Ces interventions visaient à sensibiliser l’auditoire sur les spécificités de ce domaine (qui se traitent autant par des équipements dédiés à la sécurité que par des configurations adaptées finement sur le PABX lui même).

L’héritage des risques de la téléphonie semble désormais reconnu et les réflexions pour proposer des solutions adaptées se généralisent. Nous allons peut être vers la naissance d’une nouvelle spécialité à moyen terme … Une chose est sûre, le montant des fraudes économiques - de 1 000€ à environ 600 000€ - à fait réagir la salle.

Sécurité et économie

Evoquer le ROI de la sécurité est un sujet qui fait sourire ou qui provoque une réflexion intense, douloureuse et la plupart du temps n’arrivant pas à un résultat satisfaisant. Conscient de cette difficulté, un groupe de travail a lancé une réflexion sur un axe alternatif en cherchant plutôt des outils de mesures pertinents. Il ressort de ces premiers résultats une classification des entreprises, une première série de ratios concrets et adaptés à l’activité, des pistes inattendues et une bonne nouvelle.

En effet, Il est désormais prouvé que la sécurité devient moins onéreuse lorsque les spécialistes de la fonction achat accompagnent les experts que nous sommes dans les phases de négociations. Indéniablement, cette professionnalisation devrait permettre d’optimiser les budgets serrés pour investir dans les trop nombreuses solutions qui sont aujourd’hui nécessaires. Un travail très intéressant dont les évolutions seront à suivre lors des prochaines assises.

Une vision de l’avenir

Un axe de présentation de ce qui nous attend dans l’avenir assez différent dans cette présentation et collant au plus près aux actualités : le monde change, économiquement, géographiquement et techniquement à une allure encore jamais rencontrée. Quelques chiffres à la clé pour illustrer ces bouleversements qui impose également une dynamique toujours plus importante dans nos métiers :

• 10 milliards de tweets en 5 mois.
• 2012 : 33% de solutions achetées sur un mode As a Service.
• 2012 : cinq fois plus de données crées en 5 mois que sur l’année 2008 complète.
• 2013/14 : les smartphones sont désormais le mode d’accès prédominant au web.
• 2015 : les réseaux sociaux remplacent l’usage du mail pour 20% des utilisateurs professionnels.
• 2015 : 50% des entreprises auront plus de 80% des fonctions IT en mode As a Service.

Comment faire face à cette montagne ? En continuant avec une vigueur renouvelée la sensibilisation de nos utilisateurs, en assurant une veille, en embrassant les innovations qui se présentent, et surtout, surtout, en créant de l’échange entre l’ensemble des acteurs sécurité pour que les informations essentielles soient connues de tous.

Cette conférence c’est terminée avec la présentation de l’excellent rapport « Data breach investigation report » pour 2011 et une citation de Darwin : “It’s not the strongest who survives, nor the most intelligent, but the ones most adaptable to change“. A méditer.

Pour conclure

Pour finir, il est impossible de ne pas évoquer la conférence de clôture, réalisée par le directeur de l’ANSSI, qui a été un rappel des grands risques actuels mais aussi et surtout, que les risques encourus sont démultipliés par le non respect du strict minimum touchant la sécurité (qui a parlé des fessées morales ?). De trop nombreuses attaques réussissent en exploitant des mots de passe faibles ou par défaut, des machines non mises à jour, des droits d’accès mal gérés, etc.

L’empilement des outils n’est pas en soit une réponse à l’éclatement des périmètres traditionnels et à la démultiplication des périphériques. L’échange entre les équipes des différents domaines, le ciblage précis de certains problèmes, la communication autour des alertes sont des points qui font toujours défaut et doivent être traités. S’il est nécessaire d’affronter l’avenir, cela ne signifie pas pour autant que les enseignements du passé doivent être oubliés.

Ai-je oublié ou manqué quelque chose ? Bien sur ! Les ateliers et stands étaient trop nombreux pour pouvoir être couvert en seulement trois jours. Ainsi, si vous n’avez pas vu évoqué la gestion des périphériques mobiles ou d’autres sujets d’actualités, c’est simplement que le temps a manqué, mais absolument pas leurs absences Je vous renvois vers le site des assises pour avoir le détail des ateliers et partenaires de cette édition 2011. Bien entendu, si vous voulez parler de ce que vous avez vu (ou vouliez voir) en commentaire, n’hésitez pas !

Vivement les assises 2012 !

Cedric