"Les tests d'intrusion ont avant tout une fonction éducative"

Propriété du groupe Telindus depuis juin 2000, CF6 conseille les grandes entreprises en matière de sécurité. En amont de leurs projets mais aussi pour tenir à niveau leurs dispositifs via des audits et des tests d'intrusion. Patrick Coilland dresse pour JDNet Solutions le tableau des risques et de leur niveau d'appréhension par les entreprises.


JDNet Solutions : CF6 travaille pour l'essentiel avec des grands comptes, comment appréhendent-ils la question de la sécurité ?
Patrick Coilland : Nous rencontrons trois grandes catagories d'entreprises. Tout d'abord celles qui n'ont investi quasiment aucune ressource sur le sujet, tout simplement parce que la direction générale n'est pas sensibilisée à ce type de risques. Ces entreprises-là sont toutefois de plus en plus rares. Deuxième catégorie, les entreprises qui sont sensibilisées, qui ont mobilisé des moyens mais qui ont des doutes sur la méthode à suivre pour être pleinement efficaces. Enfin, dernier type de clients, ceux qui ont déjà une politique de sécurité, des compétences et qui cherchent simplement à tenir à jour leur dispositif et à l'éprouver.


C'est pour ce type de clients que CF6 mène des tests d'intrusion ?
Pas seulement. Si les tests d'intrusion représentent en effet une forme de maintenance d''un projet, ils nous servent aussi en avant-vente, notamment pour sensibiliser des directions générales. Pour ces clients-là, ces tests ont une fonction très éducative et débouchent souvent sur l'installation de solutions sur le mode urgent...


Quels projets conduisent une entreprise à s'intéresser davantage à la sécurité ?
Généralement, quand une entreprise envisage d'utiliser Internet pour interconnecter des sites ou des filiales, c'est à ce moment qu'elle commence véritablement à s'intéresser à la sécurité. L'autre facteur déclenchant, ce sont les projets d'infrastructure à clef publique (PKI, Public Key Infrastructure).


Ces projets de PKI sont une réalité ?
L'étiquette "PKI" est problématique parce qu'elle couvre un spectre très large de projets. A titre d'exemple, véhiculer des coordonnées bancaires via un flux SSL, c'est déjà mettre un pied dans un proket PKI puisque SSL recourt à des certificats. En même temps, cela n'a pas grand chose à voir avec le déploiement de certificats à l'échelle d'une entreprise pour authentifier les collaborateurs et signer des documents. Pour ce type de projets, j'avoue que l'heure est plus à la réflexion qu'à la concrétisation. A l'exception notable du ministère des Finances qui, à la fois pour signer ses documents internes et pour valider en ligne les déclarations de TVA, a réellement ouvert ce chantier.


Quand la presse, JDNet Solutions inclus, parle de sécurité, c'est souvent pour évoquer de nouveaux virus ou des failles dans un logiciel. A vos yeux, d'où viennent les grands risques ?
Les virus, les failles, ce sont des choses connues et pour lesquels on a appris à être réactif. La sécurité, c'est avant tout des outils et des méthodes opérés par des hommes. Et souvent, le principal risque vient du fait que les hommes opèrent mal. Ce sont des risques moins spectaculaires, plus difficiles à cerner, mais bien réels...


En matière d'édition logicielle, le marché semble tenu par quelques grands acteurs. Cela vous semble-t-il sain ?
La sécurité est un projet très structurant puisque c'est un projet qui touche les individus et, dans le cas des grands comptes, à une grande échelle. Il semble donc logique que ces entreprises se tournent vers les éditeurs a priori les plus pérennes et les plus réactifs, c'est-à-dire les plus gros ! Ce qui ne les empêche pas d'être méfiant envers des éditeurs qui sont principalement anglo-saxons...


Les entreprises craignent la présence de cheveaux de Troie dans des produits commerciaux ?
On nous pose régulièrement des questions sur le sujet. Et d'ailleurs ce n'est pas seulement pour "doubler" le niveau de sécurité que les entreprises installent souvent deux firewalls. En fait, elles choisissent un premier logiciel de renom et un second, beaucoup plus confidentiel qui va, en quelque sorte, jouer les veilleurs. En même temps, il est amusant de noter que ces entreprises ne se posent pas de questions quand elles déploient des milliers de postes sous Windows équipés de tous les logiciels de Microsoft...


Une politique de sécurité cohérente, soutenue par les bonnes ressources humaines, avec les bonnes solutions, cela suffit-il à mettre une entreprise totalement à l'abri ?
A l'abri des risques courants certainement. Il faut néanmoins rester honnête : si une entreprise est ciblée par un concurrent ou un organisme qui dispose de suffisamment de moyens, il lui sera très difficile d'empêcher une intrusion sur son réseau.



Patrick Coilland a débuté sa carrière au sein du ministère de la Défense où il participe au démarrage de la section d'études et de recherche informatique de l'Etat Major de l'Armée de Terre. En 1983, il rejoint le groupe GFI avant de se lancer trois ans plus tard dans la fondation de CF6.