Interview
Consultant sécurité
Publié le 26-02-2004 dans le thème Réseau - Sécurité
Pays : Europe - Auteur : Damien Bancal
La sécurité
informatique comporte beaucoup de métier. L'un d'eux, consultant.
Nous avons posé quelques questions sur le travail de consultant
sécurité à Frank Lavenant, 33 ans, Consultant Système
et Sécurité depuis 10 ans pour le compte de la société
SETIB depuis 3 ans.
Qu'est
ce que votre métier ?
Notre métier a pour vocation d'aider les entreprises à
intégrer la sécurité dans leurs systèmes
d'information et également dans les services qu'elles proposent
à leurs clients, comme par exemple les services bancaires sur
Internet.
Quel
cursus suivi ?
BTS Informatique Industrielle (2 ans), puis l'EPITA et le CNAM en parallèle
(3 ans). Mon stage en entreprise de dernière année de
cursus d'ingénieur fût consacré à la sécurité.
Mon premier emploi fût au Ministère de la Défense
où j'ai continué de travailler sur ce thème pendant
6 ans, ce qui a été très formateur. SETIB me permet
maintenant de continuer à évoluer sur la conception et
la mise en place d'architectures sécurisées en clientèle.
Existe
t il d'autres cursus pour faire ce métier ?
Oui, il existe des Masters en Sécurité, DEA, DESS et Ecole
d'ingénieur.
Mais la sécurité s'apprend d'abord sur le terrain. Il
faut être passionné, curieux et posséder des connaissances
de base solides en systèmes, réseaux et une certaine maîtrise
de la programmation afin d'aborder des besoins en sécurité
clients assez complexes comme par exemple, définir et mettre
en place une architecture PKI.
Quelle
est votre journée type de travail ?
Tout dépend de la mission proposée. Les journées
de travail restent très diversifiées car fonction des
demandes et besoins de chaque client. Généralement, je
travaille en collaboration avec l'équipe du client sur son projet.
Mon rôle consiste à conseiller, aider à définir,
choisir et mettre en place la meilleure solution au problème
posé.
Il est
évident que ce métier oblige à rester à
la pointe et la veille technologique est le seul moyen pour maintenir
ses connaissances à niveau. Sur une semaine, notre équipe
effectue en moyenne une journée dédiée à
la veille technologique. Nous nous tenons informés des évolutions
du marché, des nouvelles tendances et de l'émergence de
nouvelles solutions.
La sécurité
informatique semble être un tabou dans les sociétés,
le pensez-vous ?
Oui, le sujet reste tabou et les entreprises restent réticentes
même si elles prennent conscience qu'aujourd'hui rien ne peut
se faire sans. Notre rôle consiste aussi à les aider et
à définir leur politique de sécurité de
leurs systèmes d'information (PSI).
Pourquoi
?
Car le sujet est encore nouveau et souvent mal connu. En outre, peu
de spécialistes existent sur le marché. Les entreprises
ont peur de se faire "pirater", elles ne savent pas comment
faire face à cette menace et souvent n'osent pas aborder ce thème.
Que
diriez-vous aux "gosses" qui rêvent de devenir
Hacker ?
Pour moi, le terme Hacker définit une personne à la pointe
de la technologie informatique, elle permet d'améliorer la sécurité
en découvrant de nouvelles failles et en ne causant aucun tort
à quiconque. Trop de personnes confondent Hacker avec "Pirate
info" qui ne pense qu'à détruire ou à nuire.
Il faut bien prendre conscience que le piratage est soumis à
des amendes, voir des peines de prison. De plus, cela peut mettre en
péril certaines sociétés et parfois même
le licenciement des administrateurs systèmes ou réseaux.
Et puis, ce n'est pas en "defaçant" les sites qu'on
devient célèbre.
Par contre,
faire des tests d'intrusion (Pen Test) sous autorisation et dans le
cadre d'une mission permet de mettre en évidence les lacunes
en sécurité d'une entreprise et d'en améliorer
son état. Ceci n'en reste pas moins ludique et la démarche
est nettement plus constructive.
L'audit
en sécurité informatique est-elle prise au sérieux
par les entreprises ?
Oui, je crois qu'aujourd'hui, les entreprises font confiance à
un audit sécurité. Car elles prennent de plus en plus
conscience du risque encouru si leur réseau est mal protégé.
D'autant plus que leur réseau devient de plus en plus complexe
à administrer et à sécuriser.
Dans un
audit, il faut dissocier les aspects mise en évidence des vulnérabilités
des aspects recommandations. C'est la seconde partie qui va rendre crédible
et exploitable les résultats de celui-ci.
Comment,
d'après vous, doit agir une société face à
un problème de sécurité informatique ?
Agir avec sérénité et rigueur. Ne pas paniquer
face à une intrusion, par exemple. Appliquer les procédures
de sécurité existantes et faire appel à des professionnels
de la sécurité.
Qu'est
ce qu'une bonne sécurité informatique ?
La "bonne sécurité", c'est le travail à
la fois organisationnel et technique.
Sur le plan technique, cela passe par la mise en œuvre de matériels
et logiciels performants utilisées par des personnes compétentes.
Définir une solution sécurisée est un travail d'équipe,
chacun a ses compétences et peut s'intégrer facilement
au projet. Cela permet d'avoir une vision assez large et de soulever
des problèmes auxquels nous n'avions pas pensé.
Mais attention,
ce n'est pas parce que le projet est fini que tout est sécurisé,
bien au contraire, il faut savoir se tenir informé rapidement
des problèmes de sécurité et de réagir en
conséquence. De toute façon, comme chacun sait, le 100%
ou l'hyper sécurisé n'existe pas. Par contre, essayer
de s'en approchée pourquoi pas.
Et une
mauvaise ?
C'est une solution sécurisée qui ne sait pas évoluer
et c'est de croire qu'on est sécurisé. La sécurité
doit faire l'objet d'un suivi continu et être sans cesse remise
à niveau.
Quel est
le cas le plus grave que vous ayez pu rencontrer dans votre travail
?
Un accès total et sans mot de passe à tout un système,
depuis l'Internet, d'une grande société française
connue. Nous avions accès à plusieurs bases de données,
comptes et mot de passe utilisateur dans un fichier en clair, plan d'adressage
de leur réseau, messagerie, documents interne de la société,
documents personnel, bref la totale.
...
et le plus "drôle" ?
Le cas le plus drôle et surprenant que j'ai pu rencontrer est
un ingénieur sécurité tellement angoissé
de se faire pirater ces machines, qu'il avait installé un système
d'alarme. Dés qu'une attaque se produisait, une sirène
se déclenchait en salle de production et hurlait à tue
tête (système intelligent, mais un peu bruyant, d'autant
plus qu'elle se déclenchait assez souvent).
Que
pensez du full-disclosure ?
Comment faire le bien et le mal ? Mon avis reste mitigé.
D'autre part, je suis pour la libre diffusion de l'information, toute
faille découverte doit être rendue publique. La divulgation
des failles permet de faire corriger les bugs logiciels par les éditeurs,
de "patcher" les serveurs par les administrateurs, bref d'améliorer
la sécurité. Mais d'autre part, il est vrai que ces informations
peuvent être utilisées à mauvais escient et que
les "pirates" en sont friands.
D'après
ce que vous pouvez en voir, quel est le niveau de la sécurité
en France ?
Les grandes entreprises, les banques et les grandes institutions travaillent
sur la sécurité depuis quelques années. Leur niveau
est globalement convenable et acceptable à ce jour. Par contre,
les PME/PMI, bien que sensibilisées, ont du mal à franchir
le cap, certainement en grande partie à cause du coût que
cela représente. A mon avis, elles jugent que le coût d'investissement
n'est pas en relation avec les risques qu'elles peuvent encourir.
Aujourd'hui,
l'externalisation de la sécurité prend de plus en plus
d'importance et permet aux entreprises d'améliorer rapidement
leur niveau. Avec cette solution, les entreprises peuvent avoir à
disposition tout l'environnement matériel et surtout humain permettant
de réaliser une meilleure sécurité (suivi des dernières
techniques de Hacking, veille Technologique, suivi des versions des
logiciels, patchs à appliquer ...).
Quoi qu'il
en soit, il reste encore beaucoup de travail à effectuer en matière
de sécurité et personne n'est à l'abri de la faille.
Derniers contenus
Le Comité d´Entreprise de GoodYear Amiens fait dans le phishing !
Exclu : Une page dédié à la banque Halifax cachée à l´insu du plein grès du Comité d'Entreprise du fabricant de pneu GoodYear, à Amiens.
DailyMotion HS: Fait trop chaud
Une panne de courant plonge plusieurs centaines de sites Internet Français dans le noir dont Dailymotion, le portail vidéo.
Interpol, nouveau membre du FIRST
La police internationale intègre le cercle du Forum of Incident Response and Security Teams, FIRST.
Fête nationale à la sauce guerre électronique
Un internaute souhaitait lancer une attaque informatique lors de la fête nationale américaine du 4 juillet. Il passera son Independance Day entre quatre murs.
Nouvelles arrestations chez wawa mania
Mercredi matin, les forces de l´ordre française auraient sonné chez de nouveaux administrateurs et uploaders du site Wawa Mania.
Sécurité et mobilité
Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.
Interoute Internet Barometer
Un widget vous permet de suive en temps réel les attaques informatiques en cours.
Usenet coupable de violation de la propriété intellectuelle
Les ayants droits américains font condamner Usenet. La justice estime que Usenet est directement coupable de violation de la propriété intellectuelle.
Sur le même thème : Réseau - Sécurité
Interpol, nouveau membre du FIRST
La police internationale intègre le cercle du Forum of Incident Response and Security Teams, FIRST.
Sécurité et mobilité
Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.
Interoute Internet Barometer
Un widget vous permet de suive en temps réel les attaques informatiques en cours.
Codes d´accès de jury du bac en accès libre sur la toile
Exclusif : BACCALAUREAT GENERAL session 2009. Plusieurs dizaines d'identifiants de connexion au système de gestion des résultats du bac en accès libre sur Internet.
Problème de confidentialité corrigé sur le site Amaguiz.com
Exclusif : Le site de l´assureur low cost Amaguiz laissait en accès libre plusieurs miliers de dossiers clients. L´espace a été corrigé suite à notre alerte.
Un piège électronique sur le site Presseregional.fr
Exclusif : Étrange fichier découvert sur le site Internet Presseregional.fr, le portail web du Syndicat de la presse quotidienne régionale.
Facebook corrige une faille liée à la vie privée de ses abonnés
Une faille permettait de rentrer dans la vie privée des abonnés de Facebook. Le site vient de corriger 3 semaines après l´alerte.
Des abonnés de Free et Neuf télécom s'échangeraient leurs connexions
Marché noir autour des identifiants appartenant à des clients Freewifi et Neuf télécom Wifi.
Vos réactions ( 0 )
Réagissez à ce contenu
Réagir
- Dans le cœur de Wawa mania
- Michael Jackson est vivant
- Nouvelles arrestations chez wawa mania
- DailyMotion HS: Fait trop chaud
- Pirate Bay racheté par un éditeur de jeu vidé...
- Interoute Internet Barometer
- Piège Twitter
- Usenet coupable de violation de la propriété ...
- Forfaits vraiment illimités chez Virgin Mobil...
- Casinos en ligne: attention aux arnaques
- Une enseignante diffuse du X perso à ses élèv...
- Fable 3 confirmé
- Ecran USB MIMO
- Diabolo : une radio numérique internet
- En moyenne dès 10 ans sur Internet, pour y fa...
- HTC Hero, le smartphone superhero
- Gathera : gérer vos comptes sociaux depuis le...
- Microsoft Bing : trucs et astuces
- Air Keyboard – clavier à détection de mouveme...
- Poc Phpmyadminrce.sh Cve-2009-1151 - Phpmyadm...
- Petits cubes, gros problème
- Distributeur de billets piégé
- Sality.AO, un virus entre passé et présent
- Faille pour Reader d'Adobe
- Faille pour Internet Explorer 7
- Chasseur de Shell/SQL
- Joomla! powa !
- Déni de service par SMS pour Nokia.
- Compromission de système par le biais de xter...
- Déni de service distant pour VMware
- Droit et Justice en ligne - Mai 2009
- Plus d'un million de mels en accès libre chez...
- Une filiale de Total en accès libre sur Inter...
- Salade de bugs pour PastaParty.com
- L´actualité juridique du mois de février 2009
- Fuite de données corrigée pour le site Vetito...
- L´actualité juridique du mois d´octobre
- Le petit business warez ne connait pas la cri...
- L´actualité juridique du mois de septembre
- L'actualité juridique du mois de Juin
Derniers communiqués de presse
Un site pour sauver des vies
Le groupe de protection sociale Vauban Humanis lance le premier site de localisation de défibrillateurs en France.
La version bêta de BitDefender 2010 désormais disponible en français
BitDefender a le plaisir d´annoncer pour la première fois la disponibilité en langue française de la version bêta de sa solution de sécurité BitDefender Total Security 2010.
Interface de programmation RapiShare disponible
RapidShare donne l´accès à son interface de programmation d´applications. Celle-ci permettra aux développeurs privés et professionnels d´intégrer rapidement et facilement la technologie RapidShare dans leurs outils.
Forfaits vraiment illimités chez Virgin Mobile
Virgin Mobile révolutionne le marché et lance les premiers forfaits vraiment illimités.
Stars-buzz.com
Clara plume: P?tit plaisir à saisir
« J?ai juste envie de parler aux gens », dit Clara Plume. Et elle parle ! C?est d?ailleurs de la parole qu?elle vient : enfance à la fois classique et bohème, encouragée à écrire aussi naturellement qu?elle lit, et à s?exprimer aussi passionnément qu?elle écoute. Elle devient comédienne, monte des pièces, en écrit, les jette, [...]
Speech Debelle, le nouveau clip sur Stars-buzz
Better Days a été produit par Plutonic Lab pendant le séjour de Speech en Australie. Après plusieurs idées de featuring, elle s?est finalement décidée pour Micachu qui a su insuffler sa touche brit-pop unique au titre. Le résultat est dément. Le son est chaleureux, groovy, sensuel. Le beat funky contraste avec la profondeur de la contrebasse [...]
Marie Espinosa, la démarante
Marie Espinosa marquée par Jane Birkin et Françoise Hardy sortira son premier album à la rentrée chez Remark (ULM/Universal Music). Une galette suave baptisée « La démarrante » et qui annonce un son mélodieux. C’est du moins ce que nous a fait saliver de plaisir le premier single de la belle, « Charmante jeune fille [...]
Street Hero
Street Hero ? Saut sur un bus avec caméra embarquée ? Saut freestyle d?un immeuble sur des bus en caméra embarquée. A voir ! Des bus, un immeuble et un jeune sautillant Yamakazi à la sauce anglaise. Etonnant, c’est le buzz vidéo du moment. Soleil, fun et juillet, voilà une période ou l’on peut se lacher un peu [...]
