Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

CSO Interchange Paris : la synthèse des discussions

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur CSO Interchange Paris : la synthèse des discussions

Enfin, les participants s’accordent sur le fait que les tableaux de bord sont aussi d’excellents outils de communication : d’abord vers le haut, à direction de la Direction Générale, en traversant les strates hiérarchiques de l’entreprise et devenant au passage de plus en plus synthétiques. Mais aussi vers le bas, afin de communiquer vers les filiales avec un langage commun (celui des objectifs chiffrés !)

 

Les nouveaux référentiels utilisateurs
Modérée par François Gratiolet, Qualys, suppléant Hamid SAIDI Responsable d’équipe Sécurité des S.I. BNP Paribas

En abordant d’éventuels nouveaux référentiels utilisateurs l’on pense bien entendu immédiatement à la consolidation des identités entre l’annuaire local de l’entreprise et les bases utilisateurs des applications dans le Cloud. Si l’intérêt de la chose ne fait aucun doute, il faudra cependant attendre encore un peu pour la voir à l’oeuvre. Les discussions à cette table ronde ont en effet mis en évidence un faible niveau de maturité en la matière. Les participants contournent aujourd’hui le problème en s’appuyant sur l’annuaire local de l’entreprise afin d’autoriser ou non la navigation web vers les applications Cloud, en fonction du rôle de l’utilisateur (ou de groupes). Les « brokers » d’identité dans le Cloud, tel Ping Identity sont donc encore peu présents parmi nos grands comptes.

Toutefois l’intérêt existe et des réflexions sont en cours parmi les participants à cette table ronde. Mais tous s’accordent à dire qu’il faut d’abord en passer par une bonne gouvernance des utilisateurs (combien, pour quelles applications précisément)… ce qui n’est pas encore toujours le cas !

 

Du Cloud au BYOD : quoi de neuf dans l’analyse de risques ?
Modérée par Nicolas RUFF, Chercheur sécurité informatique EADS

Avant même de parler d’analyse de risque, il a fallu définir la notion de BYOD. Et les participants à cette table ronde ont trouvé l’exercice délicat. Est-ce un terminal réellement personnel ? Ou est-il par exemple choisi par l’utilisateur dans un catalogue de produits pré-sélectionnés par l’entreprise ? Qui paie le forfait ? De ces réponses dépendront la responsabilité de l’entreprise vis-à-vis du terminal, sa capacité à l’intégrer à son SI et les contrôles qu’elle pourra lui imposer.

Les participants ont notés que s’ils sont plutôt favorables à une solution de MDM (Mobile Device Management), ils estiment en revanche que l’approche NAC (Network Access Control) appliquée aux terminaux mobiles n’est plus d’actualité. Autrement dit, dans une optique d’analyse de risque, les contrôles applicables aux terminaux seront globalement limités à une gestion de flotte et à la protection du contenu du mobile lui-même (des fonctionnalités apportées par les solutions de MDM). En revanche l’application d’une véritable politique de sécurité au moment de l’accès au réseau ne semble donc plus au programme.

Les RSSI ont également noté que bien qu’une solution de MDM installée sur un mobile personnel puisse sembler intrusive à son propriétaire-collaborateur, l’effacement du contenu à distance est un bon argument pour la faire accepter (pour éviter, par exemple, que des photos personnelles ne tombent entre de mauvaises mains…)


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.