Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Les six travaux du RSSI

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur Les six travaux du RSSI

Les six travaux du RSSI

Six tables rondes, six thèmes d’actualité proches du quotidien des RSSI : le CSO Interchange 2011, organisé par SecurityVibes, a été l’occasion de mieux comprendre les préoccupations actuelles de la profession. Nous vous proposons de revenir sur cet événement avec une plongée dans le quotidien du RSSI à travers ses six grands travaux.

Bring Your Own Device (BYOD) : quand les utilisateurs choisissent leur équipement

Modérateur : Cyril Haziza, Responsable de la sécurité des infrastructures au Crédit Agricole CIB.


La table sans conteste la plus demandée, au point qu’il ait fallu créer une seconde rangée de chaises pour les retardataires ! Preuve, s’il en était encore besoin, que la maîtrise des équipements personnels est la difficulté du moment (notre dernier petit-déjeuner thématique consacré au sujet l’avait d’ailleurs déjà démontré).

Le constat d’abord : la tendance semble inévitable, que ce soit pour les téléphones mobiles (smartphones), les tablettes ou même les ordinateurs portables. L’impulsion est essentiellement donnée par les VIP de l’entreprise, mais également désormais par la « génération Y », qui tolère mal d’être moins bien équipée au bureau qu’à la maison.

Le phénomène est donc inévitable, certes, mais est-il au moins utile ? Les RSSI présents observent qu’il n’y a pas vraiment de cas d’application métier pour les smartphones ou les tablettes génériques. Pas de besoin métier impératif, donc. Tout au plus un intérêt économique, mais surtout beaucoup de vanité : « Mes utilisateurs se plaignaient d’avoir l’air ridicules avec leurs Blackberry alors que tout le monde avait des iPhones et des iPad. Maintenant que je leur ai fourni des Playbook de RIM, ils se sentent privilégiés« , expliquait un membre de SecurityVibes qui ne pratique pas le BYOD.

Du point de vue de la sécurité, et contrairement aux participants de la table ronde consacrée à l’ultra-mobilité (ci-dessous), les commentateurs de la table BYOD n’estiment pas que la pratique pose des problèmes de sécurité spécifiques. Rien, en tout cas, qui ne puisse se régler avec de bonnes pratiques de SSI conventionnelles. « Ce qui change, c’est l’approche : la sécurité du terminal n’est plus la priorité, il faut maintenant sécuriser l’information elle-même, quel que soit le terminal où elle est consommée« , résume Cyril Haziza.

Comment y parvenir ? Les participants ont identifiés quatre pistes :

  • Technique : virtualisation, chiffrement, sandboxing
  • Humaine : sensibiliser les utilisateurs aux risques, et au privilège, que représente la liberté de choisir son propre terminal
  • Surveillance : mettre en place une structure capable de repérer les signaux d’abus et de remonter les alertes rapidement
  • Juridique : charte informatique et règlement intérieur doivent être mis à jour, et la vigilance RH est de mise, notamment concernant le problème de travail en dehors des heures légales
Gérer l’ultra-mobilité

Modérateur : Thierry Servais, Group IT Security Manager, Kingfisher IT Services


Etre ultra-mobile ne se limite pas à voyager avec un smartphone ou une tablette : les participants à cette table ont tenu à y intégrer aussi la problématique des disques durs externes et des clés USB, par exemple.

A leurs yeux le problème tient essentiellement au mélange des mondes professionnels et personnels dans un même équipement : l’entreprise ne peut exercer un contrôle efficace que sur une partie des informations (professionnelles) tout en ménageant les autres (personnelles). Alors que, bien entendu, le risque peut venir des unes comme des autres.

A défaut de trouver des solutions, les participants à cette discussion ont surtout énuméré les problèmes qu’ils rencontrent :

  • Des solutions du marché (Mobile Device Management ou « sandboxing ») incomplètes ou peu mûres.
  • Un manque de compétence technique forte en interne sur ces technologies (iOS, Android…)
  • La difficulté à faire respecter une politique de sécurité sur des terminaux personnels (notamment pour les mises à jour)
La gestion de l’information

Modérateur : Michel Juvin, Group Information Security Officer pour Lafarge


Alors que jadis les documents papier de l’entreprise semblaient quelque peu maîtrisés (« les assistant(e)s connaissaient les règles qui permettaient de recopier, d’envoyer ou d’archiver les documents », explique Michel Juvin), l’outil informatique est venu changer la donne : le volume d’information généré par l’entreprise a explosé tandis que les règles de classement sont passées à la trappe devant la déferlante. Désormais l’origine de l’information n’est pas un critère et l’on ne sait pas précisément ce que l’on peut, ou doit, en faire : la classer, la faire suivre, la copier ?

C’est ici qu’intervient une politique de gestion de l’information. Selon Michel Juvin :

  • Elle permet la classification de l’information (par type de données, niveau hiérarchique et/ou de confidentialité)
  • Elle donne des indications sur sa gestion : communication, impression, archivage ou suppression
  • Le tout avec des règles de conservation et de stockage des données (en tenant compte des contraintes légales)

Première difficulté : cette maîtrise de l’information s’apparente à un cloisonnement, qui peut être perçu comme étant opposé à la tendance actuelle à l’ouverture. Et puis que faire de l’existant ? La masse d’information déjà créé doit-elle être traitée ou peut-on commencer à partir d’un instant T ? Comment, également, faire appliquer de telles règles ?

Pour les participants à cette discussion les solutions sont multiples. Techniques, d’abord : il sera difficile de faire l’économie d’une solution de gestion documentaire, et d’un programme de sensibilisation des utilisateurs au respect des règles de classification. Pour les bons élèves des projets de DLP (prévention de la fuite de données) et d’IAM (gestion des identités) pourront s’avérer complémentaires, mais cela commence à faire beaucoup de projets structurants à mener !

Du côté organisationnel la réponse pourrait passer par la création d’un poste de Knowledge Manager, un cadre supérieur garant de l’information au sein de l’entreprise. Il aurait notamment pour rôle d’organiser l’accès à l’information, et sa distribution (diriger la bonne information au bon collaborateur). En cela, la mise en place d’un poste de travail léger (afin d’assurer le streaming des seules informations nécessaires et ne rien stocker en local) et d’un projet de dé-duplication de l’information pourra l’aider.

Mais tout ceci représente un sérieux chantier (voire des chantiers !) et sans surprise, 50% des participants à cette table ronde n’avaient pas mis en place de politique de gestion de l’information.

Conserver l’expertise technique

Modérateur : Eric Detoisien, ITS Security Officer, Ingenico


Etes-vous certain que les prestataires ou les collaborateurs qui assurent votre protection ont le même niveau technique que les pirates susceptibles de vous attaquer ? « Les standards et les politiques, c’est très bien. Mais en face, ce sont des gens techniques. Il faut donc s’assurer d’avoir accès à une expertise technique équivalente« , résume Eric Detoisien, modérateur de cette table ronde.

Pour y parvenir il est impératif de contrôler et de maintenir le niveau technique de ses prestataires ou de ses collaborateurs experts. « Arrêtez de vous fier à l’école ou au diplôme ! » prévient Eric Detoisien. Les participants à la discussion ont ainsi évoqué deux bonnes pratiques pour tester la valeur techniques de candidats lors de l’entretien d’embauche :

  • Faire réaliser un projet en un temps limité (coder de manière sécurisée tel ou tel outil en quatre heures, par exemple)
  • Faire rédiger la synthèse d’une conférence de sécurité connue

Mais ils préconisent aussi de faire tourner ou de croiser les prestataires, afin de pouvoir comparer la valeur technique de chacun. Et bien entendu, pour le RSSI, maintenir un excellent réseau avec ses confrères afin d’échanger les recommendations d’experts techniques.

Attention : une fois acquise l’expertise technique doit être maintenue : les participants recommandent de laisser du temps au collaborateurs les plus techniques pour se former, en participants à des conférences ou des séminaires (ou en devenant membre de la communauté SecurityVibes, par exemple !)

Enfin, une note de pessimisme : selon les participants à cette table ronde, le niveau technique sécurité diminue régulièrement au sein des entreprises.

Votre organisation de la filière sécurité

Modérateur : Thierry Autret, Responsable de la Sécurité du Système d’Information (RSSI), Groupement des Cartes Bancaires CB


Organiser la maison sécurité au sein de l’entreprise est une tâche complexe. De qui doit dépendre le RSSI ? Quelle est sa relation au comité de Direction ? A la Direction Générale ? Aux métiers ? Sur qui peut-il s’appuyer pour mener à bien sa mission ?

Sans surprise les débats à cette table ronde ont montré qu’il y a autant d’organisations que de tailles d’entreprises ! Le rôle du RSSI va ainsi de l’homme à tout faire au sein d’une petite entreprise à celui de pilote des grands projets ou de garant de la sécurité auprès du Directeur Général dans les plus grandes entreprises.

Mais le plus souvent, notent les participants, le RSSI est surtout la courroie de transmission entre la Direction Générale et l’opérationnel. Il est pour cela souvent rattaché à la DSI (soit au niveau du Groupe soit à un niveau intermédiaire), bien que la tendance émergente soit désormais au rattachement à l’entité responsable du risque opérationnel, une position plus transverse.

Autre élément, apporté cette fois par les participants à la table ronde consacrée à la nouvelle articulation de SSI : l’on voit désormais arriver un RSSI « personne morale », composé d’experts juridiques, IE, gestion du risque…

MOA / MOE : la nouvelle articulation de la SSI

Modérateur : Antoine Ancel, Expert Sécurité


Maîtrise d’oeuvre, maîtrise d’ouvrage : ou placer la limite ? Cette table ronde s’est révélée très complémentaire à la précédente (« L’organisation de la filière sécurité« ). Les participants ont mis en garde contre la tentation de créer une maîtrise d’ouvrage sécurité : « c’est à la maîtrise d’ouvrage métier de venir chercher des éléments de réponse auprès de la sécurité« , résume Antoine Ancel. Et l’avenir est peut-être même dans la disparition du modèle MOE / MOA et la réorganisation autour d’un modèle fournisseur de service / consommateur (d’ailleurs naturellement plus adapté à la transition vers le Cloud Computing).

En filigrane de ces discussions, les participants n’ont pas manqué de noter que ces évolutions sont également en ligne avec la transition vers une sécurité liée à la donnée plutôt que qu’aux moyens (terminaux, systèmes, etc… : voir la table ronde consacré au BYOD, plus haut).

Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

adobe (34) android (31) anssi (30) antivirus (64) apple (36) attaque (32) breve (162) chiffrement (43) cisco (53) cloud (29) cloud computing (51) cso interchange (27) exploit (65) explorer (50) facebook (31) faille (166) failles (73) featured (295) google (55) hack (24) internet (77) iphone (33) linux (31) malware (28) mcafee (41) microsoft (195) oracle (35) patch (27) phishing (37) piratage (43) pirates (29) rsa conference (52) rssi (61) saas (47) securityvibes (34) smartphone (32) spam (52) symantec (79) sécurité (109) virtualisation (29) virus (76) vulnérabilité (51) wifi (28) windows (111) étude (25)

Archives

© 1999 – 2014 Qualys, Inc.  Tous droits réservés. A propos Contact Partenaires L’équipe
Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.