Pour sa quatrième édition, la Journée Sécurité 01 s’est intéressée à l’anticipation des nouvelles menaces. Mais à défaut de boule de cristal le programme s’est plutôt tourné, dans un premier temps, vers quelques observateurs patentés du petit monde de la SSI, dont le CERT-IST et le CLUSIF. Les deux organismes sont venus respectivement tirer le bilan de l’année 2008 et parler de malveillance téléphonique dans le cadre de la ToIP (voir nos encadrés via le sommaire ci-dessus)

Plusieurs tables rondes ensuite, auxquelles participaient des RSSI, ont rappelé notamment la nécessité de mesures de sécurité plus génériques que spécifiques face aux nouvelles menaces (du banal, comme le cloisonnement accru du réseau aifn de supporter son ouverture grandissante, au plus original, comme ces RSSI anciens militaires qui regrettent le temps du « confidentiel défense », une arme bien pratique selon eux afin de conserver les troupes en ordre de marche).

Et dans ce contexte, bien entendu, la norme ISO 270001 (et ses cousines) a été plébiscitée, permettant de mettre en oeuvre un véritable système de gestion de la sécurité capable de répondre non pas aux menaces au cas par cas mais de manière structurelle et rationnelle.

Evidemment, l’aspect juridique n’a pas été oublié, avec une intervention d’Olivier Iteanu venu rappeler – jurisprudence à l’appui – que face aux nouveaux usages de l’Internet 2.0, les employeurs peuvent être tenus responsables des infractions commises par leurs salariés depuis leur poste de travail. Et prôner de ce fait la délégation de responsabilité, une pratique encore peu courante selon lui.

Enfin, Hervé Schauer (HSC) a livré une synthèse particulière intéressante de la journée , enrichie au passage de sa vision des risques à venir. Ce sont d’après lui les « infrastructures spontanées » qui présenteraient aujourd’hui un risque méconnu qu’il convient d’anticiper.

Cette génération spontanée de serveurs et d’applications (Cloud, SaaS ou virtualisation) échappe en effet le plus souvent à tout contrôle de l’entreprise, à tel point que « les utilisateurs n’embêtent plus le RSSI aujourd’hui, ils se débrouillent tous seuls pour régler leurs problèmes avec les Google Apps », s’amuse Hervé Schauer.

Mais le consultant appelle à la prudence non seulement face à ces nouveaux risques, mais aussi en premier lieu face aux technologies qui les introduisent : en rappelant par exemple que la virtualisation peut ne pas être « aussi géniale qu’on le pensait » (exigences technique et sécurité beaucoup plus élevée, isolation des machines faillibles…), il conclue en estimant que le RSSI ne doit pas seulement anticiper les menaces liées aux nouvelles tendances, mais aussi prendre du recul vis-à-vis de ces dernières. Car ne faire qu’anticiper les risques sans se poser la question de l’utilité de ces tendances reviendrait à suivre aveuglément les modes.