C’est Philippe Courtot, CEO de Qualys Inc., sponsor de l’événement, qui ouvert cette édition Londonienne du Qualys CSO Interchange et introduit la journée. Il est suivi par un remarquable keynote de Mark Hughes a director group security chez B.T a intitulé  » The view from the top : how to develop a cohesive security strategy for a global organisation  » qui précède les différentes tables rondes proposées aux CSO.

La journée était articulée par 3  » keynotes  » (présentations en téléchargement sur le site de l’événement ) entre lesquels les participants échangeaient leurs expériences et idées autour de tables rondes thématiques animées par des experts. Ainsi, il était possible de prendre place autour d’une table dédiée à la sécurité du Web 2.0, d’évoquer le modèle SaaS dans le monde de la sécurité, de discuter de convergence, de standards PCI ou encore des  » best practice  » d’un plan de continuité d’activité… Coté  » keynotes  » Bob Tarzey a Service Director, QuoCirca a a évoqué les conséquences sécuritaires d’un  » greener business  » (Green I.T), et Paul Wood a Group Business Protection Director chez Aviva a a détaillé sa méthode pour développer un Framework de gestion de risque au sein d’une multinationale.

Le fil conducteur de la journée : un questionnaire interactif

A chaque présentation ou changement de table ronde précédait un questionnaire interactif dont les résultats anonymes sont rendu public par l’organisateur. Le panel d’une cinquantaine de CSO présents lors de cette journée rend les chiffres représentatifs et crédibles.

Ainsi, on apprend par exemple que :

47.5% des CSO anglais ont toujours du mal à démontrer la valeur (business value) de leur travail.

64% des interrogés attestent qu’il était pour eux plus facile de sécuriser leurs infrastructures il y a un an plutôt que aujourd’hui.

Pour 94.3% des interrogés, le budget est le principal obstacle à la bonne réalisation de leur travail de CSO.

42.9% des CSO interrogés ont déjà déployé une solution de sécurité en mode SaaS (Software as a Service).

Plus de 45% des CSO interrogés testent leurs procédures de plan de continuité d’activité (Business Continuity Plan) au moins une fois par an, 50% d’entre eux déroulent totalement les procédures au moins une fois par an pour évaluer la réactivité des équipées. 41% des interrogés ont des équipes dédiées aux plans de continuité d’activité.

Le gap entre la France et la Grande-Bretagne

D’un point de vue  » franco-français « , cet événement nous a permis d’observer l’avancée que la grande Bretagne possède sur la France en matière de gestion de la sécurité des systèmes d’information. Alors que dans l’hexagone bon nombre de RSSI n’ont d’autres choix que de se consacrer à la sécurisation des postes et serveurs, nos amis outre-manche abordent des concepts beaucoup plus  » haut niveau  » et ont appris à développer des méthodes et mettre en place des processus de gestion de risque à l’échelle d’entreprises d’envergure mondiales avec une totale abstraction des aspects techniques. Il est évident que la réglementation (regulation) et la mise en conformité (compliance) y sont pour beaucoup. La législation a très vite poussé les RSSI Anglo-Saxons à élever le débat de la sécurité, on commence à observer ce phénomène aujourd’hui en France…

La confidentialité des débats et échanges

La sécurité est un sujet sensible, Qualys a donc souhaité éviter toute fuite d’information à l’issue des tables rondes. La règle envers les journalistes qui couvraient l’événement (SC Magazine, Information Age & Vulnerabilite.com) était on ne peut plus stricte : il est interdit de divulguer l’identité des CSO participant à cet événement ni de rapporter quelque information permettant d’identifier leur organisation sans leur accord. C’est pourquoi nous ne pourrons malheureusement pas relayer le fond des discussions auxquelles nous avons participé pendant cette journée…

Si vous êtes RSSI n’hésitez pas à participer à cet événement dont le chapitre français se déroulera probablement au printemps 2008 !