Parad’IE à la rencontre de Bruno Méline, Consultant en SSI (Sécurité des systèmes d’Information)

23 mai 2009

Bruno Méline, consultant en sécurités des systèmes d’information dans une des grandes entreprises de la place répond à nos questions. Dans son parcours professionnel il a travaillé pour de grands ministères (en tant qu’Ingénieur de Haut Niveau au Ministère de la Défense, chargé de mission informatique, et au Ministère de l’intérieur comme responsable des études sécurité et membre de la mission permanente chargée d’aider les préfectures à se sécuriser). Il a participé à la mise en place de Schengen, d’Europol  et a eu comme client de grands comptes de la place. Il est aussi expert auprès de la Commission Européenne pour les nouvelles technologies et en sécurité des systèmes d’informations. Il a participé à un projet « Phare » pour la sécurisation d’un système d’information l’administration roumaine afin de permettre l’entrée de ce pays dans l’Union Européenne.

Dans le cadre de la fin de notre dossier sur la crise, pourriez-vous nous dire comment vous l’avez ressentie ? Quelles sont les attitudes de vos clients?

Il n’y a pas de changement fondamental dans l’approche des clients informatiques mais plutôt une évolution. L’administration inclut maintenant systématiquement dans ses grands projets un chapitre relatif à la sécurité de l’information. Les grandes entreprises  renforcent leur sécurité globale notamment face aux nouveaux risques identifiés dont Internet fait partie. Ainsi, la majorité des grandes entreprises est organisée et désigne un RSSI (Responsable de la Sécurité des Systèmes d’Information).

Les entreprises, face aux risques, réagissent soit de façon globale, soit sur incidents. Le premier type de réaction est provoqué  par une meilleure appréciation des risques et les obligations légales (audits des comptes et de leur support par les commissaires aux comptes) pour les grandes entreprises. Le deuxième type de réaction est le plus souvent celui des PME.

La crise favorise une prise en compte globale de la sécurité. La sécurité informatique n’apparaît plus comme l’unique priorité : elle n’est considérée que comme une partie de la sécurité du système d’information qui, lui, focalise plus l’attention.

Par contre, la crise a permis de se débarrasser de projets de sécurité immatures. En effet, elle apparait comme une excuse justifiant les retards, voire les annulations de programmes, alors qu’en fait ce sont les entreprises et les programmes qui ne sont pas prêts.

Comment définissez-vous les « systèmes d’information » ? Pour vous les DSI doivent-ils s’en tenir à la Sécurité des Systèmes informatiques (Techniques) ?

La sécurité des systèmes d’information est à prendre au sens large. Il s’agit de protéger le cœur de l’entreprise elle-même. Ainsi dans les grandes entreprises les responsables sécurité sont souvent rattachés à la Direction Générale, ce qui leur permet d’avoir une vision plus globale des problématiques, Par contre ceux qui sont intégrés dans la Direction Informatique sont limités dans leur légitimité en effet la direction informatique n’a pas vraiment de pouvoir pour définir la sécurité globale de l’entreprise, étant considérée comme peu légitime vis-à-vis de ses métiers. Quand les sociétés ne mettent pas les moyens, les responsables informatiques « bricolent » la sécurité dans leur sphère. En effet, dans un contexte de sécurité globale, il doit y avoir une liaison entre services généraux et sécurité informatique d’où l’avantage de rattacher les DSI à la Direction Générale.

En termes de sécurité, quelles sont les plus grandes vulnérabilités de l’entreprise face à la crise ?

  • Le vol d’ordinateur portable. Aucune entreprise ne peut se targuer de n’avoir jamais perdu, ou été victime de vol de portable. Quand ce type de vol survient, deux services peuvent être prévenus : les Services Généraux qui ne notent que la perte d’un bien matériel et la DSI qui peut s’inquiéter selon sa sensibilité de la valeur stratégique des données perdues. Mais la véritable faiblesse des services de sécurité des entreprises réside dans le fait que ce n’est que le média (contenant) qui est évalué, au détriment de son contenu. Comme en témoigne l’étude sur la perte des portables dans les aéroports il y a un manque de sensibilisation face à ces pertes d’informations. Elle montre, s’il existe des pertes volontaires ou minimisées, la faiblesse de l’action de la  DSI de l’entreprise dans ce domaine.
  • La cybercriminalité.
  • La méconnaissance des règles de base. Il faut noter une corrélation entre la présence de stagiaires et le nombre d’attaque de virus. La plupart du temps, ces incidents ne sont pas provoqués  consciemment mais ils posent le problème de la gestion des accès.
  • Le traitement des données à domicile, sur les ordinateurs personnels. On remarque dans les PME que beaucoup d’ingénieurs systèmes utilise cette facilité pour gérer les incidents hors heures ouvrables. Cela pose le problème de la responsabilité des employés, du contrôle et des accès au réseau et au système central. Dans ces cas, il est recommandé que l’employeur prête un ordinateur portable sécurisé servant exclusivement pour l’entreprise.
  • Et… les week-ends de trois jours. Les délinquants, ayant la certitude d’être seuls dans les entreprises, sont à l’origine de cambriolages, fraudes, vols d’ordinateurs, tentatives d’accès, espionnage industriel. On recommande donc aux entreprises de renforcer leur vigilance pendant ces périodes.

Selon vous quelles sont les entreprises les plus touchées ?

ISO 27001

Les PME qui pensent toujours qu’elles sont protégées, ce qui est un sentiment faux. Mais il faut remarquer que si les grandes entreprises sont plus vigilantes, elles ne sont pas non plus épargnées.

A ce sujet, dans l’évaluation des risques et la mise en place de la sécurité, les approches ont changées. Les méthodes franco-française sont obsolètes puisque maintenant la sécurité des entreprises est traitée avec un ensemble de normes internationales l’ISO 27000 et SOX (COBIT). La sécurité de l’entreprise est globale et découpée en 11 domaines.

Quels sont les atouts de l’IE pour gérer ces situations ?

Il faut être clair. L’Intelligence économique permet d’identifier les faiblesses du système et d’avoir une vue extérieure.  Elle permet de déceler les faiblesses de l’entreprise et d’être avertie en cas d’attaque contre elle. En allant plus loin les spécialistes peuvent quelquefois repérer des fraudes ou des faiblesses par ce canal.

La mise en place d’une cellule de veille économique tournée vers l’interne, chargée de capitaliser, organiser et présenter l’information, est utile. On utilise le Knowledge Management dans ce but. Cependant, cela exige de la part des entreprises, de la clarté dans ce qu’elles réalisent.

Quelles solutions proposez-vous ?

Pour mieux faire passer les réformes en termes de sécurité, il faut améliorer la communication avec les employés en leur expliquant les objectifs et les différentes contraintes.

Pour plus d’efficacité, il faudrait mettre en œuvre des chartes de sécurité encadrées juridiquement  et veiller à leur bonne application. En effet, les employeurs ignorent souvent qu’ils sont responsables de la conduite de leurs employés ou peuvent se retrouver dans le cas du CNRS dans lequel des cadres ont été condamnés pour avoir ouvert des mails. Inclure la charte et l’obligation de se tenir informé dans le contrat de travail, pourrait être une solution.

Il est à noter que tout doit être mis en place avec l’accord des partenaires sociaux, en particulier si des contrôles doivent être réalisés sur les activités ou les postes des salariés.

Dans certaines grandes entreprises la responsabilité de la sécurité des informations est décentralisée : ce sont les managers qui sont responsables.

Pensez-vous que les pouvoirs publics ont joué le bon rôle pour gérer la crise en termes d’atteinte à la sécurité du patrimoine ?

Au niveau du gouvernement, les services des Hauts Fonctionnaires de Défense sont de plus en plus spécialisés. Un effort de l’administration, dû à la crise ou non, est fourni notamment pour renforcer la sécurité des applications sensibles (méthodologie avec fiches d’évaluations FEROS (fiches d’évaluation des risques de sécurité), EBIOS).

Par contre, si un effort est effectué pour informer les entreprises stratégiques, un gros parcours reste encore à accomplir pour protéger notre patrimoine industriel.

Quels rôles pour l’Europe dans la sensibilisation et les solutions pour la sécurité des entreprises ?

Il est difficilement imaginable de voir l’action européenne inspirer la France, puisqu’il existe une réelle difficulté pour l’Europe de faire travailler les groupes intergouvernementaux. L’UE reste en retard dans le secteur de la sécurité des entreprises. La collaboration européenne s’avère très faible sur ce sujet. Les efforts sont minimes exception faite de la cybercriminalité (problématique transfrontières) nécessitant une certaine unité. On envisage la nomination d’un haut fonctionnaire, mais il faudra fournir les moyens nécessaires sans quoi ce ne serait ni très utile ni très crédible.

Dans le cadre de notre prochain dossier sur la virtualisation des systèmes, pourriez-vous nous donner votre avis sur le sujet ?

Il y a du bon et du mauvais. De toute façon elle est inéluctable et l’informatique s’oriente inexorablement dans cette direction avec des appellations diverses. Les failles qui existent sont transférées dans l’environnement virtuel si les correctifs n’ont pas été mis en place avant. La virtualisation ajoute un nombre de failles supplémentaires du fait de son propre système de gestion. La vulnérabilité des systèmes est donc plus importante. Par contre la virtualisation bien maîtrisée au niveau opérationnel est un plus : elle permet de redémarrer plus facilement et plus rapidement les systèmes. Il faut noter à ce sujet que les PRA et PCA sont rarement correctement testés, que les systèmes soient virtualisés ou non.


Parad’IE à la rencontre d’Orca Security

13 mai 2009

orcaMonsieur Laurent Schmitte, directeur du consortium ORCA Security a accepté de répondre à nos questions. Composé de 25 entreprises expertes dans leurs domaines, le groupe a pour objectif de répondre à n’importe quel problème de sécurité rencontré par les entreprises. Les prestations s’interconnectent et permettent une réponse sur mesure, parfois totalement novatrice, à chacune des problématiques liées à la sécurité informatique, des biens et des personnes, et économique.

Quelles sont les conséquences de la crise sur la sécurité des entreprises ?

Pour le moment, les conséquences sont peu mesurables car on manque de recul et les entreprises communiquent peu sur leurs vulnérabilités.

Il est certain que les entreprises sont plus vulnérables notamment parce que le nombre d’agresseurs a augmenté. La crise va inciter les entreprises à prendre des risques ne serait-ce que pour survivre. Alors que le vol de voiture a réellement chuté, les vols d’ordinateurs et de téléphones ne cessent de s’accroitre. 15% de ces vols sont réalisés pour les informations qu’ils contiennent.

Cette statistique est à minimiser puisque la plupart des entreprises négligent bien souvent de signaler le contenu qui a été volé.

Qui sont les auteurs de ces vols ?

Comme avant, il y a les délinquants et criminels pour qui les sociétés sont une proie comme une autre. Mais il faut savoir que la plupart des vols sont réalisés par des salariés de l’entreprise soucieux de se procurer un ordinateur à des fins personnelles ou pour bénéficier des informations qu’ils contiennent dans une nouvelle carrière professionnelle.

Les vulnérabilités physiques sont-elles les seules à être plus nombreuses ?

Non. Dans les domaines hyperconcurrentiels, les opérations d’influence sont de plus en plus nombreuses. Internet est un terrain très propice à ces actions, il permet aux détracteurs de se cacher derrière une adresse IP étrangère ou cachée, rendant très difficiles identifications et donc représailles. Les actions de déstabilisation des concurrents via Internet vont se multiplier en utilisant des méthodes loin du respect des lois mais effectuées le plus souvent depuis des pays où il sera difficile de poursuivre les auteurs.

Quels sont les réactions des entreprises clientes ?

La sécurité n’est pas encore considérée comme un moteur d’économie, tout au plus une politique de sécurité est-elle assimilée à une certaine assurance, mais les entreprises doivent prendre conscience que la sécurité peut être un moteur intéressant de productivité.

La période de crise aidant, le prix est privilégié à la qualité. Ce sera un problème sur le moyen terme.

Dans quelle mesure ?

La sécurité va favoriser la compétitivité en :

–          Rassurant les employés qui, par conséquent, resteront plus facilement sur leurs lieux de travail.

–          En limitant les mécontents. Une amélioration de la protection des acteurs de l’entreprise favorisera la paix sociale.

–          En augmentant les contraintes à l’entrée et à la sortie de l’entreprise. Cela limitera les sorties improductives, notamment les pauses cigarettes !

Quelles évolutions la crise pourrait entrainer ?

Les actionnaires vont surement demander plus de sécurité. Les normes de sécurité, comme SOX et ISO, seront de plus en plus prises en compte dans le calcul de la valeur de rachat d’une société. Cette exigence apparaît aussi importante que le bilan comptable et financier.

La sécurité des entreprises est un facteur de rentabilité, qui ne doit plus être ignoré.

Pensez vous que les acteurs publics ont bien réagit face à la crise ?

Les banques ont une réelle responsabilité dans la sécurité économique des entreprises. Leurs difficultés propres et la mauvaise redistribution des aides étatiques accroissent les difficultés des sociétés : les cessations de paiement sont de plus en plus nombreuses, engendrant des vulnérabilités en cascade pour les fournisseurs.

Par ailleurs, il faudrait développer encore plus d’éducation. Il y a trop de « catastrophisme » de la part de consultants. Les pouvoirs publics doivent tout mettre en œuvre pour que chacun se sente concerné. L’État doit être un support pour les entreprises, il doit être plus présent et plus pro-actif.

C’était la mission de Monsieur Juillet ?

Oui et il y a eu beaucoup de travail de fait. Mais il a cruellement manqué de moyens, surtout partant du no man’s land dans lequel se trouvait l’intelligence économique en France. Les pouvoirs publics devraient encore davantage sensibiliser les entreprises, les convaincre de l’intérêt de recourir aux outils de sécurité et d’intelligence économique.

Quels sont les solutions immédiates que les chefs d’entreprises peuvent mettre en œuvre pour limiter les effets de la crise ?

Les français préfèrent bien souvent remettre à demain ce qu’ils peuvent faire le jour même ; « on a toujours une bonne raison de ne pas faire ! ». La crise a renforcé cette position. Chez Orca, nous observons que plusieurs de nos clients, principalement dans le monde bancaire, ont divisé leurs budgets d’investissements en tous genres par 2 ou 3. Il faudrait que les chefs d’entreprises français apprennent à « avoir toujours une bonne raison pour faire » !