Lexsi:
l'information au service de la sécurité
Presque
une semaine après la réunion du G8, la criminalité
informatique se trouve à nouveau sur le devant de la
scène, dans une séminaire qui a lieu aujourd'hui
au Forum de Grenelle. Son organisateur, l'intégrateur
réseaux Boreal
Communications, espère ainsi contribuer à
la sensibilisation des entreprises en revenant sur les risques
qu'elles courent et en présentant ses solutions et
celles de ses partenaires RSA Security, Trend Micro, ISS et
CheckPoint. La première partie du séminaire
est animée par Joël Rivière, président
de la société Lexsi
(Laboratoire d'expertise en sécurité informatique)
et ancien chef du département Informatique-électronique
de l'Institut de recherche criminelle de la Gendarmerie Nationale
de 1994 à 1999. A ce titre, il dispose d'une expérience
significative des délits commis par les "hackers"
et autres "phreakers". "J'ai fondé Lexsi en juin 1999 afin de sensibiliser
les professionnels à la sécurité et de
faire de la prévention pour éviter d'intervenir
en pompier après les problèmes", explique-t-il.
"En quelques mois, nous avons fédéré
plus de 100 clients grands comptes autour de notre activité
principale, la veille technologique. Notre coeur de métier
est de rechercher des informations sur les vulnérabilités".
Pour cela, Lexsi a créé le Cercle de la Sécurité
Informatique, un service d'informations pour être tenu
au courant en permanence de toutes les vulnérabilités
importantes. Ce service fonctionne sur un principe d'abonnement
à l'année, de l'ordre de 50.000 francs par an. "Nous visitons à peu près 400 ou 500 sites
tous les jours, avec une méthodologie qui nous permet
de valider ou non l'information rapidement", poursuit
Joël Rivière. "En matière de sécurité,
la première brique est de se tenir au courant au jour
le jour de ce qui se passe. L'information est importante car
la sécurité est un problème à
80 % humain et seulement à 20 % technique.
Les trois mots qui nous définissent le mieux sont la
confidentialité, la qualité de service et la
confiance". Outre la veille technologique, Lexsi propose
également des prestations d'audit suivant plusieurs
méthodologies mises au point en interne, des tests
intrusifs en mode manuel, ainsi qu'une dizaine de programmes
de formation en sécurité, du plus général
au plus précis. D'autre part, la société
n'audite pas seulement les systèmes d'information mais
également ceux de téléphonie. Pour Joël
Rivière, "de plus en plus, les gens parlent de
sécurité informatique mais oublient la téléphonie.
Or, avec des technologies comme le couplage (CTI) et la voix
sur IP, les deux convergent. Le mois dernier, nous avons effectué
3 audits dont 2 où nous avons découvert
des fraudes importantes au niveau du commutateur PaBX". D'après le "mot du président" sur
le site de Lexsi, 90 % des réseaux informatiques sont
vulnérables et 65 % des entreprises françaises sont victimes
d'intrusions, dont 95 % ne sont même pas détectées. 14
milliards de francs auraient ainsi été perdus en 1998 par
les PME-PMI, à cause de la fraude informatique. Ces chiffres
devraient être réactualisés cette année
par le Clusif. "A l'heure actuelle, il est clair que
seules 7 à 8 % des affaires remontent jusqu'aux
services officiels", précise Joël Rivière.
Les entreprises ne tiennent pas en effet à ce que le
monde entier soit au courant de leurs vulnérabilités.
Cela nuirait considérablement à leur image de
marque. "Il faudrait dépenser au minimum de 3 à
4 % de son budget informatique dans la sécurité",
conseille le président de Lexsi. "Certaines entreprises
du secteur financier en sont déjà à 6 ou
7 %. La prévention passe par la connaissance :
avoir en même temps l'information et la formation".
En attendant, la politique du pare-feux laissé à
l'abandon continue de faire des ravages. Et pourtant, le chef
d'entreprise est tenu pénalement pour responsable de
ses données et peut être poursuivi pour délit
de manquement grave à la sécurité. Selon
Joël Rivière, d'importantes affaires de ce type
seraient actuellement en cours de préparation.
[François Morel,
JI]
|
|