Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

CSO Interchange Paris : la synthèse des discussions

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur CSO Interchange Paris : la synthèse des discussions

Enfin, un risque peu souvent considéré a été soulevé par les participants : le départ du collaborateur qui a travaillé avec son terminal personnel. Que faire alors des données professionnelles qu’il contient ? Ici la solution semble avant tout contractuelle : leur effacement doit être mentionné dans la charte informatique.

 

Nouveaux moyens d’authentification
Modérée par Joseph GRACEFFA, membre du bureau CLUSIR INFONORD RSSI

Ce fut ici la table du pragmatisme : les participants n’ont noté aucun nouveau moyen d’authentification réellement innovant et répondant aux exigences d’un déploiement par une grande entreprise. Tous en restent donc à leurs tokens, soft tokens ou OTP bien connus, qui ont le mérite d’avoir fait leurs preuves.

Mais ce n’est pas qu’ils refusent d’en changer ! L’adhérence aux solutions actuelles semble à ce titre globalement faible, et plusieurs RSSI se disent prêts à changer pour un moyen d’authentification qui, à niveau de sécurité équivalent, serait simple, convivial, transparent et offrirait un ROI rapide.

Hélas, un déploiement au sein d’un grand compte exige une solution globale, et aucune des solutions émergente qu’ils ont pu observer sur le marché ne leur semble encore répondre à ce critère essentiel.

 

Quels contrats pour les services Cloud ?
Modérée par Marie-Noelle GIBON, CIL groupe La Poste, Présidente de l’association eSCM

Principal constat de cette discussion : mieux vaut être une très grande entreprise si l’on souhaite que la contractualisation des services dans le Cloud ne soit pas à sens unique ! Et ce n’est hélas que rarement le cas…

Pour le reste, les participants ont essentiellement débattu de la clause d’auditabilité du prestataire. Celle-ci se révèle quasiment impossible à obtenir au cas par cas et il reste donc à l’entreprise à s’appuyer sur les certifications présentées par son prestataire. En premier lieu SAS 70, qui fait office de standard à minima. Les entreprises opérant dans un domaine réglementé (CRBF 97-02 dans la banque, hébergement des données de santé, par exemple…) peuvent quant à elles aller plus loin et exiger de leur prestataire qu’il y soit lui aussi conforme.

La marge de manoeuvre de la SSI est toutefois faible dans ce domaine, car la décision d’achat implique essentiellement l’accord des métiers. C’est pourquoi les participants optent plutôt pour la voie de la sensibilisation : se rapprocher des métiers et les sensibiliser aux exigences de sécurité et contractuelles, afin que lorsqu’ils auront à choisir un prestataire, la SSI soit soutenue dans ses avis.

Modérateur, si vous souhaitez apporter des précisions ou des corrections à la synthèse de votre table ronde, contactez-nous !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.