CHAT 
 
Yves Le Roux
Technology Strategist
Computer Associates
Yves Le Roux
"Avoir une politique sécuritaire globale et éviter à tout prix les effets de mode"
Conformité, plans de continuité d'activité, politiques de sécurité, les enjeux sont multiples pour les entreprises. Attention cependant à tenir compte des différences culturelles, prévient le stratège, interrogé par nos lecteurs.
11/12/2006
 
  En savoir plus
 Yves Le Roux
Dossier Virus
Cela fait longtemps qu'aucune attaque virale d'envergure n'a été réalisée... Le calme avant la tempête ?
Yves Le Roux. Les attaques existent toujours, mais on voit plus d'attaques par social engineering, comme le phishing, car elles ont un intérêt financier.

Technology Strategist, comment définissez-vous ce poste ?
Ce poste a pour but de définir avec mes collègues de Computer Associates notre vision sécurité à trois ans, de présenter cette stratégie à mes équivalents dans les entreprisses et de recevoir leurs commentaires afin de modifier si nécessaire notre point de vue.

Il est évident que ceci nécessite d'avoir de nombreux contacts avec les associations représentatives des utilisateurs et aussi avec nos confrères pour consolider par exemple des actions de normalisation.

Est-il possible de mettre en place une politique de sécurité des données fiable lorsqu'on a des sites distribués ?
Dans de multiples sociétés, nous avons non seulement des sites distribués, mais aussi des problèmes multiculturels et nous réussissons pourtant - grâce à la glocalisation - à mettre en place des politiques de sécurité. La glocalisation est la création d'une politique globale qui s'adapte aux cultures et réglementations locales.

Qu'est-ce qui rebute tant nombre d'entreprises à se lancer dans des plans de continuité d'activité ?
Le coût et la nécessité de tester les procédures sont très souvent la cause de ce rejet des plans de continuité d'activité, ou PCA. Par contre, certaines entreprises sont contraintes par des règlements de posséder un PCA.

Quels sont les technologies de sécurité les plus en vogue ? Le NAC, la sécurité de la ToIP, les VPN ?
D'après l'enquête de l'(ISC)² - l'International Information Systems Security Certification Consortium -, la technique la plus en vogue en France est la biométrie, suivie par la ToIP. Les VPN sont considérés comme déjà installés.

Les technologies de sécurité ne sont-elles pas finalement inutiles face à des attaques en social engineering ?
   
  La gestion des risques doit s'appuyer sur la criticité métier et non sur la criticité pour le système d'information"
Le problème majeur de la sécurité est l'utilisateur. C'est pourquoi tous les spécialistes rappellent que le plus important est de sensibiliser les utilisateurs... On peut toujours filtrer les mails en entrée et en sortie, mais régulièrement l'utilisateur peut - malgré tout - faire une action non sécuritaire.

La gestion des risques est-elle suffisamment valorisée en entreprise ? Les budgets sont-ils proportionnés ?
La gestion des risques doit s'appuyer sur la criticité métier et non sur la criticité pour le système d'information. Pour avoir des budgets, il faut convaincre l'entreprise que la sécurité est une aide au métier qu'elle exerce.

Pour cela, il faut voir le rôle du SI dans le ou les métiers de l'entreprise, puis définir les exigences en matière de sécurité et élaborer un plan de sécurité en accord avec ces exigences.

De quels indicateurs a-t-on besoin pour une bonne gestion des risques ? Quelles sont les métriques ?
Un certain nombre d'organismes internationaux travaillent sur cette question. A l'ISACA, par exemple, représenté par l'AFAI en France, un programme appelé ValIT travaille sur ce sujet. En fait, il s'agit de déterminer d'abord la cible de vos indicateurs. S'il s'agit du comité directeur, le nombre d'attaques sur un pare-feu n'a aucun intérêt. Il sera intéressé par les pertes engendrées par les incidents.

Qui doit diriger les problématiques de conformité, le DSI ou le RSSI ?
Les problèmes de compliance sont un sujet très intéressant car, en France, en dehors des établissements financiers, il y a peu de Chief Compliance Officers rattachés à la direction générale. Le problème est la nécessité d'avoir des gens capables de déduire les conséquences des lois et règlements sur l'informatique. Dans le système américain, c'est le responsable métier qui a aussi la responsabilité de la compliance. On l'appelle le Business Process Owner.

A qui doit être rattaché le RSSI dans l'organisation globale de l'entreprise ?
   
  Le premier chantier est, en partant des objectifs et des contraintes réglementaires de l'entreprise, de définir une politique de sécurité"
Cette question est intéressante car les études actuelles montrent que l'activité et le profil du RSSI varient suivant son rattachement. S'il est rattaché au DSI, Il aura tendance à avoir un rôle purement technique.

S'il est rattaché au département financier, légal ou à la direction générale, il s'occupera de questions stratégiques et de rédiger des politiques qui seront mises en œuvre par les métiers. On peut trouver des structures où le RSSI - au niveau groupe - dirige un centre d'excellence servant de conseiller à d'autre RSSI se trouvant prés des métiers.

Le RSSI ne devrait-il pas pour cela avoir une position équivalente à celui du DSI ?
En fait, dans certains établissements, le DSI et le RSSI participent au comité de direction.

Pourquoi les responsables informatiques en France choisissent encore aujourd'hui des solutions de sécurité sur leur marque et non pas sur des bases uniquement techniques ?
Le problème classique est le coût total d'une solution incluant la maintenance et les problèmes potentiels... Pour certaines personnes, le fait d'avoir une marque connue leur donne une certaine confiance sur la durabilité de la solution.

Que pensez-vous des solutions Open Source ? CA contribue-t-il à des projets du libre ?
Le souci récurrent avec l'Open Source est le coût total, car souvent - pour l'adapter à l'entreprise - il faut utiliser des services payants. On le voit très bien avec certains éditeurs qui fournissent des logiciels en Open Source, mais facturent la maintenance et / ou les services.

CA participe effectivement à des projets du libre, comme par exemple la base de données Ingres, en Open source.

Quels chantiers doivent être privilégiés en termes de sécurité ?
Le premier chantier est, en partant des objectifs et des contraintes réglementaires de l'entreprise, de définir une politique de sécurité. Cette politique de sécurité doit être approuvée par la direction générale. De cela, on pourra déduire des procédures et des standards d'entreprise qui nous permettront d'implémenter la politique.

   
  Le problème est de définir le budget de la sécurité. Tous les experts ont des points de vue divergents"
Il est important de noter que l'aspect organisationnel compte normalement pour 80% de l'effort, alors que la partie purement technologique ne représente que les 20%. Il faut avoir une politique sécuritaire globale et éviter à tout prix les effets de mode.

Où peut-on trouver une liste des contraintes réglementaires ?
Les contraintes réglementaires sont de deux types : horizontales, s'appliquant à toutes les entreprises, par exemple la loi Informatiques et Libertés ou la loi sur la sécurité financière. Verticales, s'appliquant à un métier, par exemple pour les banques la CRBF 97-02.

Donc, pour répondre à votre question, il faut connaître les métiers de l'entreprise, mais aussi sa répartition géographique, l'endroit où elle est cotée en bourse, etc.

Gestion des risques, conformité aux réglementations Sarbanes-Oxley, LOLF... comment les avez-vous mises en œuvre ? S'y prendre en avance est-il le seul facteur clé de succès ?
CA a un Chief Compliance Officer, plus 60 BPO, Business Practice Officers. Par exemple en France, il y a trois 0BPO pour 350 employés. De plus, pour chaque métier, il y a un Business Process Owner désigné. Des modules d'enseignement à distance avec un examen de sortie ont été rendus obligatoires pour chaque employé.

Quel est taux idéal du budget de la sécurité par rapport au budget global du système d'information ?
  En savoir plus
 Yves Le Roux
Dossier Virus
Le problème est de définir le budget de la sécurité. Tous les experts ont des points de vue divergents. Exemple : est-ce qu'un backup ou un checkpoint d'une application doit faire partie du budget sécurité ? Pour certains oui, pour d'autres non.

Au revoir, ce fut un plaisir.

 
Propos recueillis par Christophe AUFFRAY, JDN Solutions

PARCOURS
 
 
Lire la fiche de Yves Le Roux dans notre carnet des managers.

   
 
  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY
 
 
 


Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters