Publié le 27-10-2006 à 00:00:00 dans le thème Tous thèmes

Pays : International - Auteur : Damien Bancal

Pub : Tous les logiciels firewall gratuits disponibles sur Internet

CYBER NETWORKS, société de conseil et d’intégration du Groupe NET2S, spécialisée dans les solutions sécurisées, a étudié et analysé les sujets traités par les RSSI européens. Cela a fait l’objet d’un atelier « Sécurité des systèmes d’information à l’international », animé par Mauro Israel, RSSI de CYBER NETWORKS aux Assises de la Sécurité 2006, à Monaco. Extraits.

Comment sont traités les enjeux de sécurité des Systèmes d’Information dans les autres pays ? Les problématiques y sont-elles différentes ? Y a-t-il des différences d’approche ou de traitement ? Peut-on retirer de bonnes pratiques à partir d’autres pays ? Pour répondre à ces questions, il est intéressant de comparer les sujets traités par les RSSI des différents pays d’Europe avec les pratiques américaines. Cette analyse compare l’usage de la sécurité des S.I. en Allemagne, Belgique, Espagne, France Grande-Bretagne et Etats-Unis. Les thèmes évoqués proviennent de l’interview des RSSI et DSI des différentes entités du groupe NET2S et de la compilation des expériences de divers groupes de travail sur la sécurité des systèmes d’information européens. En complément, sont mentionnées les principales instances et initiatives européennes sur le sujet.

Convergences
Européens et Américains sont sensibles au problème de l’identity Management et de l’authentification forte. Il semble que le « login-passoire » soit en voie de disparition. Les banques italiennes dotent leurs clients de dispositifs physiques de calculette « one time password » et en font un argument commercial de lutte contre la fraude et le phishing. Les solutions d’authentification biométrique et de carte à puce se répandent dans l’ensemble de l’Europe, notamment auprès des dirigeants et des populations « sensibles » qui doivent protéger leur ordinateur portable et leurs données. De la même manière, la gestion sécurisée des « nomades » et les technologies connexes, WiFi, voix et téléphone sur IP, chat, peer-to-peer et autres clefs USB, sont une préoccupation commune.

Naturellement, tout le monde s’interroge sur la conformité réglementaire et juridique. Ajoutons une mention particulière pour la France concernant le « correspondant CNIL ». Dans le même registre, l’insertion de clauses de sécurité dans les contrats d’outsourcing interpellent les RSSI. A noter l’initiative de la DCSSI cherchant à standardiser ces clauses dans les appels d’offres de l’Etat. Ces bonnes pratiques pourraient être reprises par les grandes entreprises françaises, voire européennes.

La norme ISO 27001 est un sujet sur lequel on s’interroge beaucoup, y compris aux USA. « Faut-il y aller ou pas ? Quelles interactions avec les autres normes et règlements ? Est-ce utile ? La réponse proviendra du retour d’expérience des premières sociétés certifiées. Le Royaume-Uni semble en avance sur le sujet (il est à l’origine de la norme à travers la BS7799) et la France quantitativement en retard.

Sensibiliser les utilisateurs suscite l’intérêt des RSSI de tous les pays, particulièrement à la suite des nouvelles menaces de « social engineering » et de manipulation psychologique pour récupérer les mots de passe ou l’accès aux données confidentielles.

Divergences
Alors que les anglo-saxons (UK, Allemagne, USA) s’intéressent au budget et à la justification des coûts, les latins (France, Espagne), eux, prennent également en compte différents critères comme le facteur humain. Ils invoquent par exemple le gain en qualité de travail ou la protection des données personnelles.

Visiblement les plans de continuité d’activité et de secours font partie de problèmes résolus en France, alors que les Anglais et les Allemands cherchent encore à trouver la bonne formule pour créer une cellule de crise efficace et un plan de secours. Il est d’ailleurs notable que les anglo-saxons se concentrent plus sur la mise en œuvre alors que les Français prennent plus de temps pour la planification et la documentation.

Quelles sont les bonnes pratiques vis-à-vis des outils nomades ? Les décisions concernant l’utilisation de ces nouvelles technologies sont diamétralement opposées. Les Français semblent vouloir bannir l’usage de la téléphonie sur Skype, du peer-to-peer, du chat, du Blackberry et de tous ces types d’outil alors que les Anglais les adoptent pour des raisons d’efficacité. La question à se poser n’est-elle pas de comprendre « qui écoute les communications et dans quel but ? »

Initiatives européennes
Alors que chaque pays s’est organisé autour d’associations nationales, voire internationales, il existe désormais une entité européenne pour la sécurité des systèmes d’information et qui s’occupe de diffuser les bonnes pratiques. L’ENISA www.enisa.eu.int est notamment chargée de mettre en œuvre un système d’alerte de sécurité, coordonné au niveau européen et commun à plusieurs pays, au même titre que les « CERT » nationaux (Computer Emergency Response Team). Cette initiative s’inscrit dans le plan « eEurope 2005 », voté en mai 2002, précisant que « La sécurité des systèmes d’information est un élément clé pour la croissance d’Internet, en particulier avec le développement du haut débit ».

Par ailleurs, l’Europe prépare un immense système biométrique, le VIS (Visa Information System). Ce dispositif va recenser à terme 70 millions de personnes et sera déployé à partir de fin 2006. Le cœur du système - couplé au passeport- dénommé BMS (Biometric Matching System), sera installé sur les quelque 3500 ordinateurs consulaires et alimentera une base de données européenne globale. Un « centre d’excellence », basé à Bruxelles réunira toutes les parties prenantes du projet et pourra constituer une source de bonnes pratiques pour l’ensemble de la profession.

Enfin, rappelons que la convention européenne sur la cybercriminalité a été signée ou ratifiée depuis Juillet 2004 par 37 états (en particulier les 25 pays d’Europe, plus, entre autres l’Albanie, la Croatie, l’Afrique du Sud, le Canada, les USA et le Japon) et permet les poursuites légales sur un territoire autre que celui de la « victime ». La convention s’applique aux actions pénales liées aux crimes de pornographie enfantine, de fraude informatique et d’intrusions dans les réseaux et les systèmes. Notons à propos de la lutte contre la pédo-pornographie, l’initiative « SAFER INTERNET » qui regroupe deux sites web et un réseau d’alerte. INHOPE www.inhope.org permet au public de donner l’alerte lorsqu’il repère un contenu illégal sur Internet et INSAFE www.saferinternet.org informe parents, enfants et éducateurs, sur l’utilisation sans risque d’Internet en regroupant et diffusant tous les conseils et informations à ce sujet.

Coupe du Monde de la Sécurité
Enfin, on ne pouvait pas passer sous silence l’enquête de McAfee, menée par MORI Research en mai 2006 auprès de 600 professionnels de l’informatique, à propos de leur sentiment sur la sécurité de leur système d’information. En cette année de coupe du monde de football, ce n’est pas une surprise de constater que l’Allemagne présente la « défense la plus solide » contre les cyber-menaces, alors que l’Italie arrive en 4ème… Comme quoi le football et la logique ne sont pas sœurs jumelles ! Les « Bleus » sont en tête du rapport « efficacité/prix en sécurité», ce qui ressemble pas mal à notre équipe de foot - surtout de la tête…- alors que le Royaume-Uni lutte pour les places d’honneur. Les Espagnols et les Hollandais sont dans une phase de méforme et ont du mal à contrer des menaces de plus en plus sophistiquées. Il est clair pour tout le monde qu’une défense « en béton » est la clef du succès. L’évaluation a porté sur la satisfaction en matière de sécurité du réseau, le retour sur investissement et les parades aux attaques constatées dans les derniers six mois.

Tweet

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

L´ANSSI recrute de manière originale

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

ThePirateBay Dancing, l´app qui fait sauter le filtrage des majors

Pour contrer le blocage et le filtrage de certains sites Internet dédiés au warez, un add-on baptisé ThePirateBay Dancing permet de contrer les restrictions imposées par les majors.

Consultation sur la neutralité du Net

Consultation sur la neutralité du Net : La Quadrature dénonce l'échec de l'approche attentiste

Vos fichiers pornos et votre patron

Votre employeur peut-il ouvrir les fichiers trouvés sur votre ordinateur de bureau... même les très intimes ?

Logitech Alert relie la vidéosurveillance HD à l’iPad

L´application Logitech Alert pour l´iPad comprend le visionnement à distance et la gestion du système de vidéosurveillance Logitech Alert pour la maison.

Fuite d´informations concernant Bank of America

Un internaute, se disant être des Anonymous, diffuse des contenus privés appartenant à la Bank of America.

Pour la presse Russe, Wikileaks est un nid du MI-6

Nous connaissions James Bond. Voici venir Julian Assange et Wikileaks, siège numérique du MI-6.

Les coiffeurs font la grève de la musique

Pour protester contre une augmentation de 1000% de la taxe musique imposée par la SPRE, les coiffeurs coupe la musique dans leur salon.

Réagissez à ce contenu