Assises de la sécurité : brèves.

Publié le 06 octobre 2011 par Orangebusinessservices

Les 11ème assises de la sécurité sont désormais commencées depuis deux jours. Pour un œil neuf, le lieu géographique, Monaco, a un air de vacances et l’ensemble donne parfois l’impression d’une réunion d’amis de longues dates. Néanmoins, et pour être un peu plus sérieux, il faut également indiquer que tous les grands acteurs de la sécurité sont présents et qu’il est possible d’assister à un grand nombre d’ateliers.

Cisco et IBM : deux concurrents pour une vision finalement assez proche de l’avenir

Les Keynotes de Cisco et IBM, bien que prenant des formes très différentes, ont confirmés les grandes directions identifiées ces deux dernières années: nécessité de prendre en main le phénomène du « Bring Your Own Device », éclatement des sources de données et des infrastructures comme moyen de réconcilier usages et sécurité. Par ailleurs, il ne faudra pas oublier la nouvelle formule magique des marketings : « anywhere, anytime, anydevice ». L’utilisateur à désormais pris les rennes et nous devons l’accompagner.

Il est aussi intéressant de noter la conclusion des experts de la XForce d’IBM: anticipez l’avenir mais n’oubliez pas les enseignements du passé. La plupart des attaques se déroulant aujourd’hui continuent à exploiter des mots de passe simples, des machines non mises à jour ou encore des applications web n’ayant jamais été auditées. Un listing de 10 points au total qui permet de se remettre en cause et de vérifier que les fondations sont solides.

Cloud et datacenters

Très logiquement, les sujets du cloud et des datacenters, ont été traités dans différents ateliers. Un planning construit de façon progressive sur cette thématique permettait d’avoir une approche globale et bien structurée sur ce sujet. Je retiens en particulier quelques éléments ciblés que j’ai trouvés assez représentatifs des problèmes actuels :

  • En 2011, 60% des serveurs virtualisés sont moins bien sécurisés que leurs homologues physiques.
  • Il est nécessaire de retravailler de façon proactive l’émulation et la sécurité du réseau dans les couches virtuelles pour renforcer l’étanchéité, action qui devrait être de plus en plus facilitée avec l’adaptation des solutions aux hyperviseurs.
  • La mise en œuvre d’une gouvernance sérieuse, basée sur des indicateurs fiables, est indispensable. Elle devra fournir des rapports adaptés aux différents interlocuteurs, soit des équipes techniques jusqu’aux responsables et preneurs de décisions. Ces rapports devront permettre de valider le maintien en condition opérationnel du système et les SLA associés aux infrastructures.
  • La réflexion du RSSI de Casino lors du retour d’expérience : un bon moyen de tester la maturité d’un partenaire potentiel est de mesurer sa proactivité dans le traitement du sujet sécurité.

Il me semble aussi nécessaire de citer l’exposé réalisé par les équipes R&D de la société Sogeti. Une approche pratique des risques liés à la virtualisation, avec une démonstration à l’appui, pour bien mettre en évidence que la sécurité doit être considérée depuis les éléments physiques, comme la carte réseau, jusqu’à l’applicatif. Un exposé trop court qui aurait mérité de pouvoir descendre plus avant dans les détails techniques.

IP V6

Pour finir cette note rapide, l’exposé sur IP V6, sujet transverse et colonne vertébrale de tout ce qui communiquera dans l’avenir, a permis de bien mettre en évidence que nous sommes désormais entré dans une phase de transition. Ce sujet discuté depuis des années est désormais une réalité. Fini les exposés théoriques !

Cette présentation a abordé les différents modes de transition d’un point de vue technique, les impacts sur les services réseaux, les niveaux de sécurité d’IP V6 avec des retours pratiques et fortement sensibilisé sur la disparité des applicatifs existants face à cette problématique.

Une solution pour aborder sereinement cette problématique : lancer un projet interne qui couvrira l’ensemble des éléments (infrastrure, SI et endpoints) et allant de l’audit de démarrage jusqu’à la planification globale des phases de migration ou de remplacements.

Pour conclure, cet évènement est donc l’une des très (trop) rares occasions ou les professionnels de la sécurité peuvent se rencontrer pour croiser leurs perceptions de l’évolution du métier, des nouvelles données à prendre en compte et cela en oubliant parfois la relation client fournisseur. Une bouffée d’air permettant de prendre du recul et de repositionner certains sujets sur l’échelle des valeurs.

Cédric