 |
|
| |
 |
Serge Saghroune
Vice-président / RSSI
Clusif / Accor |
|
Serge Saghroune
"Les vraies attaques et leurs résultats sont passés sous silence"
La gestion au quotidien de la sécurité n'est pas un long fleuve tranquille face à la professionnalisation des hackers, à la rapidité de développement des exploits et aux failles logicielles. Mieux vaut savoir composer avec sa direction.
24/11/2006 |
| |
|
|
Quelle est l'origine du Clusif ? Qui l'a crée ?
Serge Saghroune. Le mouvement est venu de l'assurance. C'est au départ une volonté d'analyser le risque en matière informatique. L'APSAD - Assemblée Plénière des Sociétés d'Assurances Dommages - [ndlr : l'APSAD a été dissoute il y a plus de 5 ans. Elle est devenue une marque collective délivrée par l'organisme certificateur CNPP] est à l'origine du Clusif. Mais, depuis plus d'une dizaine d'années, le Clusif - animé par différents acteurs de la sécurité - vogue de ses propres ailes.
A qui vous adressez-vous ? Essayez-vous de faire du lobbying auprès de l'administration ?
Nous nous adressons à tous les acteurs de la sécurité informatique : utilisateurs, vendeurs, conseil... Une petite activité de lobbying quand les choses nous semblent aller en dépit du bon sens.
Comment le Clusif parvient-il à conserver son indépendance avec des membres d'éditeurs ou de SSII ?
Nous considérons que le plus important est de ne pas avancer masqué. Aussi chaque membre représente également une entreprise. Nous savons qui est qui. Nous avons un bureau composé d'utilisateurs et d'offreurs et nous essayons de prendre des mesures, guidés par ce qui nous semble bon pour le club.
| |
|
 |
|
|
 Le PCA c'est comme l'assurance. On n'a jamais envie de payer quand on reçoit la facture" |
|
Quels chantiers vous paraissent les plus cruciaux de mener en termes de sécurité à l'heure actuelle dans les entreprises ?
La sécurité des applications. Ce domaine est trop peu connu par beaucoup. Tout le monde ou presque connait la sécurité de l' infrastructure - firewall, authentification... -, mais très peu la sécurité applicative.
Les entreprises françaises consacrent-elles suffisamment de leur budget à la sécurité ?
Les grandes entreprises oui généralement - CAC 40. Les plus petites non, rarement.
Pour une entreprise du CAC 40, quels sont les risques les plus tangibles ?
L'indisponibilité de leurs systèmes. C'est la partie la plus pénalisante, entraînant une forte panique et des effets images désastreux. Ensuite, nous avons bien sûr la confidentialité des données. Mais cela ne concerne pas toutes les données. Certaines sont obsolètes du jour au lendemain.
Quelles sont les menaces apparues le plus récemment ? Comment travaillez-vous à vous en prémunir ?
Les menaces sont diverses : professionnalisation des hackers, rapidité de développement des exploits, failles logicielles de plus en plus nombreuses. Pour se prémunir, nous aussi devenons de plus en plus professionnels.
Sur quoi insistez-vous quant à la politique de formation de vos collaborateurs ?
La sensibilisation et la formation sont fondamentales dans un dispositif de sécurité. Il y a cependant deux types de formation : celle pour les membres de l'équipe sécurité et celle pour les utilisateurs de l'entreprise.
Pour les membres de l'équipe sécurité, il faut qu'ils atteignent un haut niveau d'expertise. Donc régulièrement des formations techniques ont lieu, et pas qu'en France. Pour les utilisateurs, leur montrer des cas concrets avec des démonstrations et quelques messages clés.
Qu'est-ce qui rebute tant nombre d'entreprise à se lancer dans des PCA [ndlr : plans de continuité d'activité] ?
C'est comme l'assurance. On n'a jamais envie de payer quand on reçoit la facture parce qu'on pense qu'on en aura jamais besoin jusqu'au jour où...
Le RSSI doit-il être indépendant de la DSI ?
Pas forcément. Si le DSI est sensible aux risques informatiques, il devient un allié précieux. Si, par contre, il le fait parce qu'il faut le faire, dans ce cas, il vaut mieux ne pas lui être rattaché.
Le RSSI et, de manière générale, les personnes en charge de la sécurité, ne gagneraient-ils pas à systématiquement produire des indicateurs et des tableaux de bord lisibles par des fonctionnels ?
Peut être. Mais je pense que beaucoup de fonctionnels ne s'intéressent pas aux indicateurs.
Ce qui les intéresse, c'est leur tranquillité d'esprit. Et pour eux c'est le meilleur indicateur.
Si vous expliquez clairement pourquoi il faut investir dans tel projet de sécurité sous peine de s'exposer à tels risques pour sa tranquillité, alors vous aurez peut-être plus de succès qu'avec de beaux tableaux.
N'a-t-on pas tendance à négliger l'analyse de risque dans la mise en uvre de nouveaux projets informatiques, pour se préoccuper essentiellement des gains escomptés ?
Cela dépend des organisations, de comment est positionné le RSSI, du degré de sensibilité à la sécurité du DSI ou du chef de projet. C'est souvent une affaire d'homme. Dans les organisations ou les métiers où la sécurité est importante, cela ne sera pas vrai. Par contre, s'il y a peu ou pas de garde-fou, alors vous avez tout à fait raison.
Quelles sont les "dernières nouveautés réglementaires" en termes de sécurité informatique ?
| |
|
 |
|
|
un simple navigateur est en termes de hacking très dangereux" |
|
PCI DSS, un truc que Visa et Master Card essayent d'imposer dans le monde. C'est une liste de demandes sécuritaires souhaitées par les géants sus-mentionnés où on veut vous dicter pratiquement qu'elle doit être votre politique de sécurité.
C'est bien parti aux Etats-Unis. En France, on résiste encore. Ce n'est pas tout à fait du réglementaire, mais cela y ressemble beaucoup.
Que conseilleriez-vous à un DSI pour faire valider son budget sécurité par sa direction ?
Des démonstrations quelques semaines avant de présenter votre budget. Présenter des attaques non destructives et bien sûr maîtrisées sur vos systèmes, en live. Si cela ne suscite aucune réaction, c'est que l'on se fiche de l'outil informatique.
A votre avis, un service juridique deviendra-t-il indispensable dans une DSI ?
Non, mais des conseils spécialisés dans l'informatique, il faut en avoir.
Pensez-vous que les entreprises françaises devraient être contraintes comme leurs homologues américaines de révéler publiquement les failles de sécurité subies ?
Je ne pense pas, ce n'est pas notre culture. Enfin, je ne parle que pour les 5 années qui viennent. Les choses évoluent tellement vite. Cependant, je mettrais un bémol à votre question : ce genre de pratique n'est pas à ma connaissance très répandu aux Etats-Unis.
Les déclarations concernent surtout les attaques sur des informations personnelles en votre possession. Cela peut-être simplement la perte d'un portable s'il contient des numéros de téléphone clients.
La biométrie a-t-elle sa place dans les entreprises privées selon vous, avec les risques de dérives et une fiabilité toute relative ?
Et je rajouterais avec les limitations apportées par la CNIL. Je pense que dans le temps cela finira par entrer dans les entreprises et les aspects réglementaires et techniques vont évoluer.
Quelle politique de sécurité mettre en place dans le cadre d'une informatique totalement externalisée - "full ASP" ?
C'est très compliqué : des règles de contrôle strict sur l'externalisateur et des procédures d'audit régulières - organisationnelles et techniques.
Un réseau basé sur des serveurs centraux avec des terminaux légers - navigateur plus connexion Internet - est-il plus facile à protéger qu'un réseau avec des postes autonomes ?
Non. Je vous redis ce que je mentionnais en début de session : un simple navigateur est en termes de hacking très dangereux pour celui qui connaît les failles applicatives.
Quelle est la position du Clusif sur les produits Open Source, en général et ceux de sécurité ?
| |
|
 |
|
|
Les vrais attaques et leurs résultats. Personne n'en parle réellement" |
|
Il n'y a pas une position Clusif en tant que telle, mais certains des membres sont des défenseurs de la première heure des produits libres. Le problème n'est pas tant la fiabilité que le coût en administration induit par ce type de produit. Tout dépend du niveau technique de votre équipe et également de l'objet de la solution.
Personnellement, j'en utilise quelques uns et j'en suis assez content. Mais sur certains produits, je ne ferais pas le saut. Exemple : si vous voulez utiliser votre produit pour avoir de beaux rapports pour une direction générale. Les interfaces sont souvent limitées et ne permettent pas de faire ce que l'on veut.
Je sais bien que cela peut paraitre puéril, mais il ne faut perdre de vue que l'on doit communiquer. Et s'il faut passer des heures pour avoir une version présentable, autant acheter un logiciel packagé.
Posséder sur chaque poste les dernières mises à jour est-il une obsession pour les responsables sécurité ?
Disons que c'est une course entre les exploits qui se transforment en vers ou virus et notre capacité à nous vacciner contre cette nouvelle menace.
Quels sujets passe-t-on trop sous silence dans le domaine de la sécurité ?
Les vraies attaques et leurs résultats. Personne n'en parle réellement, des fois même pas avec son patron. Un jour, peut-être, un vieux RSSI écrira ses mémoires.
Windows Vista va-t-il contribuer à renforcer la sécurité ?
J'ai rarement vu Microsoft contribuer à un renforcement de la sécurité, mais rêvons un peu.
Comment se décompose la journée d'un RSSI ?
Elle commence par la lecture de mails. Activité qui va être permanente jusqu'au coucher. Ensuite, il y a forcément des réunions d'équipes pour suivre l'avancement des projets et les problèmes rencontrés sur le système d'information. Pas forcément des problèmes de sécurité, mais je pense qu'un RSSI doit se tenir au courant de tous les types de problèmes. C'est sain et cela a beaucoup de conséquences.
De la lecture ensuite : nouvelles vulnérabilités, articles intéressants, participer à des réunions, projets internes, clubs et discussions informelles avec d'autres RSSI. Et s'il reste du temps, faire du sport, parce qu'il faut évacuer le stress et rester toujours zen.
Au revoir, ce fut un plaisir.
|
| |
Propos recueillis par Christophe AUFFRAY, JDN Solutions |
|
|
PARCOURS
|
|
|
| |
|
Lire la fiche de Serge Saghroune dans notre carnet des managers.
|
|
|
|
|
|
|
Dossier