Gérard KAAS, vous êtes président fondateur de la société CheckPhone, quel est votre parcours professionnel ?

Je suis diplômé de l’Institut de Commerce de Nancy, j’ai pu me forger une parfaite connaissance du monde des systèmes d’informations et des télécoms chez IBM (4 ans), ITT (3 ans), Matra Nortel Communications (18 ans). Auparavant j’étais directeur général de Fichet Bauche Sécurité Electronique France, j’ai fondé Crystalid en 2002, puis CheckPhone en 2005.

Pourriez-vous nous présenter la société CheckPhone ?

La société CheckPhone a été fondée en février 2005 par 3 associés, tous issus du monde des télécoms. CheckPhone est aujourd’hui le spécialiste de la sécurité de la téléphonie d’entreprise et la téléphonie sur IP. Grâce à sa suite logicielle ETSS (Expert Telecom Security System), Checkphone sécurise les applications téléphoniques des entreprises, et leur permet de tirer parti des nombreux avantages de la VoIP en toute sérénité, sans remettre en cause la sécurité de leur système d’information.

Que représente le marché de la sécurisation de la VOIP ?

Les équipements de téléphonie d’entreprise vendus dans le monde en 2004 étaient composés à 50 % de systèmes traditionnels dits TDM et 50 % d’équipements IP. En 2005, le nombre de lignes TDM ne représentait déjà plus qu’un tiers. La vague IP dans la téléphonie a contribué à une augmentation des ventes d’équipements téléphoniques d’entreprise de 19% en 2004 par rapport à 2003, soit environ une augmentation des ventes estimée à 26 millions de lignes. Une étude américaine du cabinet In-Stat réalisée en 2005 estime que 75% des entreprises, qui ont migré vers la VoIP, envisagent un remplacement de leurs équipements de sécurité réseau dans l’année. Sur ces bases, l’étude estime le marché de la sécurité VoIP à 7 milliards de dollars en 2009.

Quels sont les points critiques des installations VOIP ?

Si on aborde la problématique par étape, il y a hier, aujourd’hui et demain.

Hier, les systèmes de PABX traditionnels raccordés aux réseaux d’opérateurs par des liens ISDN constituaient encore la majorité du parc Installé. L’ensemble des postes téléphoniques est raccordé au PABX par l’intermédiaire d’un câblage dédié.

Aujourd’hui, il est possible de raccorder les postes téléphoniques de l’entreprise au PABX via le réseau informatique, il s’agit de solutions  » hybrides « . Les postes téléphoniques sont vus de la même façon qu’un PC raccordé au réseau. Le PABX tend à devenir un serveur applicatif interconnecté à via le réseau à ses terminaux :  » hardphones  » ou  » softphone  » IP.

Demain, l’interconnexion du PABX avec le réseau de l’opérateur, et donc avec le reste du monde, pourra être assuré directement par l’intermédiaire d’un réseau IP et non plus par des liens spécifiques ISDN. SIP pourrait être le protocole standard IP d’interconnexion voix. On peut à ce stade parler véritablement de VoIP.

Chacune de ces étapes intègre de nouveaux risques en terme de sécurité. Demain les entreprises hériteront des failles spécifiques à chacune de ces étapes sur leur système d’information. La majorité des acteurs positionnés sur le marché de la sécurité ont tendance à se préoccuper des problématiques SIP en balayant le lourd héritage de la téléphonie d’un revers de main.

Que dire du niveau de sécurité des solutions gratuites du type Skype ?

Skype est un outil grand public et non pas une solution d’entreprise. Son utilisation dans l’entreprise est aussi nuisible que toute application qui échapperait au système de sécurité mis en place sur le système d’information. Ce que d’ailleurs Skype fait très bien. Il faut au-delà de cette problématique intégrer que le phénomène Skype correspond dans le grand public à l’adoption d’une nouvelle application sur IP. Quoi qu’on fasse la téléphonie devra évoluer vers un fonctionnel  » Skype Like « .

L’email, ainsi qu’une multitude d’autres applications, a d’abord été plébiscité par le grand public avant de s’introduire officieusement dans l’entreprise. C’est ensuite qu’il a été intégré dans le système d’information puis que la couche sécurité a été ajoutée. Skype laisse d’ores et déjà présager de ce que sera la Téléphonie SIP de demain.

Attaques VOIP, mythe ou réalité ?

Réalité, dés que la VoIP sera elle-même une réalité ! Je pense que le bouleversement en terme de sécurité sera comparable, voire plus important, qu’avec l’email.

Quels sont vos conseils aux responsables sécurité qui héritent d’une installation VOIP ?

Mieux vaut prévenir que guérir. Il convient d’anticiper cette évolution en intégrant dés maintenant la téléphonie dans le périmètre de sécurité du système d’information. Ceci, quel que soit l’état d’avancement technologique de l’installation : TDM, Hybride ou VoIP !