Interview
Consultant sécurité
Publié le 26-02-2004 dans le thème Réseau - Sécurité
Pays : Europe - Auteur : Damien Bancal
Pub : CA Anti-Spyware 2007 - Les logiciels espions sont notre cible avant que vous ne deveniez la leur!
La sécurité
informatique comporte beaucoup de métier. L'un d'eux, consultant.
Nous avons posé quelques questions sur le travail de consultant
sécurité à Frank Lavenant, 33 ans, Consultant Système
et Sécurité depuis 10 ans pour le compte de la société
SETIB depuis 3 ans.
Qu'est
ce que votre métier ?
Notre métier a pour vocation d'aider les entreprises à
intégrer la sécurité dans leurs systèmes
d'information et également dans les services qu'elles proposent
à leurs clients, comme par exemple les services bancaires sur
Internet.
Quel
cursus suivi ?
BTS Informatique Industrielle (2 ans), puis l'EPITA et le CNAM en parallèle
(3 ans). Mon stage en entreprise de dernière année de
cursus d'ingénieur fût consacré à la sécurité.
Mon premier emploi fût au Ministère de la Défense
où j'ai continué de travailler sur ce thème pendant
6 ans, ce qui a été très formateur. SETIB me permet
maintenant de continuer à évoluer sur la conception et
la mise en place d'architectures sécurisées en clientèle.
Existe
t il d'autres cursus pour faire ce métier ?
Oui, il existe des Masters en Sécurité, DEA, DESS et Ecole
d'ingénieur.
Mais la sécurité s'apprend d'abord sur le terrain. Il
faut être passionné, curieux et posséder des connaissances
de base solides en systèmes, réseaux et une certaine maîtrise
de la programmation afin d'aborder des besoins en sécurité
clients assez complexes comme par exemple, définir et mettre
en place une architecture PKI.
Quelle
est votre journée type de travail ?
Tout dépend de la mission proposée. Les journées
de travail restent très diversifiées car fonction des
demandes et besoins de chaque client. Généralement, je
travaille en collaboration avec l'équipe du client sur son projet.
Mon rôle consiste à conseiller, aider à définir,
choisir et mettre en place la meilleure solution au problème
posé.
Il est
évident que ce métier oblige à rester à
la pointe et la veille technologique est le seul moyen pour maintenir
ses connaissances à niveau. Sur une semaine, notre équipe
effectue en moyenne une journée dédiée à
la veille technologique. Nous nous tenons informés des évolutions
du marché, des nouvelles tendances et de l'émergence de
nouvelles solutions.
La sécurité
informatique semble être un tabou dans les sociétés,
le pensez-vous ?
Oui, le sujet reste tabou et les entreprises restent réticentes
même si elles prennent conscience qu'aujourd'hui rien ne peut
se faire sans. Notre rôle consiste aussi à les aider et
à définir leur politique de sécurité de
leurs systèmes d'information (PSI).
Pourquoi
?
Car le sujet est encore nouveau et souvent mal connu. En outre, peu
de spécialistes existent sur le marché. Les entreprises
ont peur de se faire "pirater", elles ne savent pas comment
faire face à cette menace et souvent n'osent pas aborder ce thème.
Que
diriez-vous aux "gosses" qui rêvent de devenir
Hacker ?
Pour moi, le terme Hacker définit une personne à la pointe
de la technologie informatique, elle permet d'améliorer la sécurité
en découvrant de nouvelles failles et en ne causant aucun tort
à quiconque. Trop de personnes confondent Hacker avec "Pirate
info" qui ne pense qu'à détruire ou à nuire.
Il faut bien prendre conscience que le piratage est soumis à
des amendes, voir des peines de prison. De plus, cela peut mettre en
péril certaines sociétés et parfois même
le licenciement des administrateurs systèmes ou réseaux.
Et puis, ce n'est pas en "defaçant" les sites qu'on
devient célèbre.
Par contre,
faire des tests d'intrusion (Pen Test) sous autorisation et dans le
cadre d'une mission permet de mettre en évidence les lacunes
en sécurité d'une entreprise et d'en améliorer
son état. Ceci n'en reste pas moins ludique et la démarche
est nettement plus constructive.
L'audit
en sécurité informatique est-elle prise au sérieux
par les entreprises ?
Oui, je crois qu'aujourd'hui, les entreprises font confiance à
un audit sécurité. Car elles prennent de plus en plus
conscience du risque encouru si leur réseau est mal protégé.
D'autant plus que leur réseau devient de plus en plus complexe
à administrer et à sécuriser.
Dans un
audit, il faut dissocier les aspects mise en évidence des vulnérabilités
des aspects recommandations. C'est la seconde partie qui va rendre crédible
et exploitable les résultats de celui-ci.
Comment,
d'après vous, doit agir une société face à
un problème de sécurité informatique ?
Agir avec sérénité et rigueur. Ne pas paniquer
face à une intrusion, par exemple. Appliquer les procédures
de sécurité existantes et faire appel à des professionnels
de la sécurité.
Qu'est
ce qu'une bonne sécurité informatique ?
La "bonne sécurité", c'est le travail à
la fois organisationnel et technique.
Sur le plan technique, cela passe par la mise en œuvre de matériels
et logiciels performants utilisées par des personnes compétentes.
Définir une solution sécurisée est un travail d'équipe,
chacun a ses compétences et peut s'intégrer facilement
au projet. Cela permet d'avoir une vision assez large et de soulever
des problèmes auxquels nous n'avions pas pensé.
Mais attention,
ce n'est pas parce que le projet est fini que tout est sécurisé,
bien au contraire, il faut savoir se tenir informé rapidement
des problèmes de sécurité et de réagir en
conséquence. De toute façon, comme chacun sait, le 100%
ou l'hyper sécurisé n'existe pas. Par contre, essayer
de s'en approchée pourquoi pas.
Et une
mauvaise ?
C'est une solution sécurisée qui ne sait pas évoluer
et c'est de croire qu'on est sécurisé. La sécurité
doit faire l'objet d'un suivi continu et être sans cesse remise
à niveau.
Quel est
le cas le plus grave que vous ayez pu rencontrer dans votre travail
?
Un accès total et sans mot de passe à tout un système,
depuis l'Internet, d'une grande société française
connue. Nous avions accès à plusieurs bases de données,
comptes et mot de passe utilisateur dans un fichier en clair, plan d'adressage
de leur réseau, messagerie, documents interne de la société,
documents personnel, bref la totale.
...
et le plus "drôle" ?
Le cas le plus drôle et surprenant que j'ai pu rencontrer est
un ingénieur sécurité tellement angoissé
de se faire pirater ces machines, qu'il avait installé un système
d'alarme. Dés qu'une attaque se produisait, une sirène
se déclenchait en salle de production et hurlait à tue
tête (système intelligent, mais un peu bruyant, d'autant
plus qu'elle se déclenchait assez souvent).
Que
pensez du full-disclosure ?
Comment faire le bien et le mal ? Mon avis reste mitigé.
D'autre part, je suis pour la libre diffusion de l'information, toute
faille découverte doit être rendue publique. La divulgation
des failles permet de faire corriger les bugs logiciels par les éditeurs,
de "patcher" les serveurs par les administrateurs, bref d'améliorer
la sécurité. Mais d'autre part, il est vrai que ces informations
peuvent être utilisées à mauvais escient et que
les "pirates" en sont friands.
D'après
ce que vous pouvez en voir, quel est le niveau de la sécurité
en France ?
Les grandes entreprises, les banques et les grandes institutions travaillent
sur la sécurité depuis quelques années. Leur niveau
est globalement convenable et acceptable à ce jour. Par contre,
les PME/PMI, bien que sensibilisées, ont du mal à franchir
le cap, certainement en grande partie à cause du coût que
cela représente. A mon avis, elles jugent que le coût d'investissement
n'est pas en relation avec les risques qu'elles peuvent encourir.
Aujourd'hui,
l'externalisation de la sécurité prend de plus en plus
d'importance et permet aux entreprises d'améliorer rapidement
leur niveau. Avec cette solution, les entreprises peuvent avoir à
disposition tout l'environnement matériel et surtout humain permettant
de réaliser une meilleure sécurité (suivi des dernières
techniques de Hacking, veille Technologique, suivi des versions des
logiciels, patchs à appliquer ...).
Quoi qu'il
en soit, il reste encore beaucoup de travail à effectuer en matière
de sécurité et personne n'est à l'abri de la faille.
Derniers contenus
Piratage téléphonique: 8.000 euros d'appel en 48 heures
Un pirate informatique s'est invité dans le système téléphonique du Homeland Security Department de G. W. Bush.
Rotary Club Hontfleur hacked
Étonnant piratage pour le site du Rotary Club de la ville de Hontfleur. Un manifestant Kosovar est passé par là.
Un fan de sport manifeste sur le site internet du comité olympique brésilien
Le Brésil pue pendant ces jeux olympiques. Un pirate informatique passe ses e-nerfs sur le site internet du comité olympique brésilien.
25.000 internautes poursuivis pour copiage
25.000 internautes vont gouter aux joies de la justice. Ils sont accusés d'avoir copier sur le peer-to-peer.
Lancement de la gamme BitDefender 2009
BitDefender, annonce aujourd’hui la disponibilité des versions 2009 de ses solutions de protection pour les particuliers et les petites entreprises.
Lancement du Samsung Player Addict sur Windows Mobile 6.1
Jeudi prochain, MICROSOFT WINDOWS MOBILE, SAMSUNG et SFR vont lancer le Samsung Player Addict sur Windows Mobile 6.1. Un sérieux concurrent à l'iPhone.
Les comptes Gmail en danger ?
Des hackers auraient trouvé le moyen de pirater n'importe quel compte enregistré chez Gmail, filiale de Google.
La faille DNS touche un FAI Chinois
L'un des plus importants Fournisseurs d'Accès à Internet Chinois, China Netcom, touché par la faille DNS Poisonning.
Sur le même thème : Réseau - Sécurité
Le site Voila piraté ?
Exclu : Le site Internet Voila, filiale de France Télécom, considéré comme dangereux par la sécurité du navigateur Firefox.
Lesarnaques.com nouvelle version
Le site, lesarnaques.com change. Nouvelles rubriques et des des aides pour les démarches des Internautes.
Outil de chiffrement open source pour Google
KeyCzar, le projet open source de Google à la sauce cryptage et chiffrement des données.
Poussée d'hameçonnages à partir de sites web Français
Orange, Neuf Télécom, Paypal, eBay, ... le phishing à la sauce française prend une étrange ampleur en ce mois d'août.
Le web du Ministère de la Défense recherche un logement
Le Ministère de la Défense Français recherche un hébergeur pour son futur site Internet.
Pirater n'importe quel compte de courrier électronique
Yahoo, Hotmail, AOL, Gmail, Wanadoo, Mac, ... un groupe de pirates annonce pouvoir pirater n'importe quel compte mel. Il faut juste sortir le porte-monnaie !
Au mois d'août, sortez couvert
Pas moins de 12 bulletins de sécurité annoncés dans les jours à venir par Microsoft. Des rustines pour Windows et compagnie à ne surtout pas négliger.
Wanted: Booska-P recherche hacker
Un site Internet de rap demande à des internautes de tester sa sécurité. Cinq minutes plus tard, le site était piraté.
Vos réactions ( 0 )
Réagissez à ce contenu
Réagir
- Le Top 10 des menaces de juillet 2008
- Lesarnaques.com nouvelle version
- Quake 5 bientôt sur Excel ?
- Contrefaçon: La rentrée sur Internet ? Mieux ...
- Un hacker dans Prison Break
- Le piratage de magazines se paye une toile
- Trop de copieurs, la justice allemande baisse...
- 4 chansons du prochain U2 piratées à cause de...
- Ca ne s'arrange pas chez Pirate bay
- Outil de chiffrement open source pour Google
- Le haut parleur USB en forme de stade nid d’o...
- Un clavier et un touchpad pour la PS3
- Malaise cardiaque pour Jean Reno.
- Inc. Le magazine des jeunes entrepreneurs !
- Croissance de Facebook dans le temps et dans ...
- Paramètrer Java simplement
- Vinageer ®, navigateur n°1 mondial ?
- Un générateur d’icônes Adobe
- Quel modele economique pour Twitter ?
- Internet consommera autant que l’humanité…
- Exclu : La Corée, l'autre dragon de la contr...
- Lille aux pirates, épisode II
- Présidentielle : web, boulettes et piratages
- Actualité e-juridique
- Houra.fr ouvert au phishing
- Problème de sécurité pour le site ALAPAGE.COM
- Prudence, phishing possible
- Loi et Internet
- Victime de fraude en ligne ? Comment agir !
- Entreprise, prudence
Derniers communiqués de presse
Lancement de la gamme BitDefender 2009
BitDefender, annonce aujourd’hui la disponibilité des versions 2009 de ses solutions de protection pour les particuliers et les petites entreprises.
Lancement du Samsung Player Addict sur Windows Mobile 6.1
Jeudi prochain, MICROSOFT WINDOWS MOBILE, SAMSUNG et SFR vont lancer le Samsung Player Addict sur Windows Mobile 6.1. Un sérieux concurrent à l'iPhone.
Autodesk fête le 10e anniversaire du logiciel Maya
La nouvelle version offre des capacités de production stéréoscopique, la simulation nParticles, ainsi que des puissants outils d’animation et de productivité.
Stitcher Unlimited 2009 et ImageModeler 2009
Ces logiciels proposent des capacités avancées de création de panoramas et de modélisation 3D à partir d’images 2D
Stars-buzz.com
Malaise cardiaque pour Jean Reno
Le journal Voici révèle que le comédien Jean Reno a été évacué de Saint-Barthélémy. Il était en vacances dans la maison de Johnny Halliday quand il a été pris d’un malaise cardiaque. Il se trouvait sur l?île avec son épouse, Zofia Borucka.
Laurence Boccolini va nous faire danser
C’est confirmée, Laurence Boccolini revient sur Tf1 et va même animer, durant 15 jours, début septembre, l’émission “Dancefloor : qui sera le plus fort ?”. Selon Le Parisien, ce divertissement arrive sur TF1 le lundi 8 septembre. De 18 heures à 19 heures, des participants vont devoir improviser des danses. Un “battle” entre deux concurrents [...]
Johnny Depp, Jude Law et Colin Farrell font une bonne action
Johnny Depp, Jude Law et Colin Farrell ont décidé de reverser le montant de leur cachet d’acteur, pour le film The Imaginarium of Dr Parnassus, à la fille d’Heath Ledger, Mathilda. Heath Ledger est décédé en janvier dernier à la suite d’une surdose de médicaments. Il incarne en ce moment le rôle (excellent) du Joker [...]
Harry Potter va montrer sa petite baguette magique
Tournicoti, tournicota, revoilà, Harry Potter. Le 6ème épisode est retardé de 9 mois, rien que ça. Attendu en novembre prochain, Harry Potter et le prince de sang mêlé ne sortira pas en salle en novembre mais en juillet 2009. Warner Bros montre du doigt, pour justifier ce retard, la greve des scenaristes qui a touché [...]
