Publié le 27-10-2006 à 00:00:00 dans le thème Tous thèmes

Pays : International - Auteur : Damien Bancal

Pub : CA Anti-Virus 2007 - Protection exhaustive contre l’intrusion de virus!

CYBER NETWORKS, société de conseil et d’intégration du Groupe NET2S, spécialisée dans les solutions sécurisées, a étudié et analysé les sujets traités par les RSSI européens. Cela a fait l’objet d’un atelier « Sécurité des systèmes d’information à l’international », animé par Mauro Israel, RSSI de CYBER NETWORKS aux Assises de la Sécurité 2006, à Monaco. Extraits.

Comment sont traités les enjeux de sécurité des Systèmes d’Information dans les autres pays ? Les problématiques y sont-elles différentes ? Y a-t-il des différences d’approche ou de traitement ? Peut-on retirer de bonnes pratiques à partir d’autres pays ? Pour répondre à ces questions, il est intéressant de comparer les sujets traités par les RSSI des différents pays d’Europe avec les pratiques américaines. Cette analyse compare l’usage de la sécurité des S.I. en Allemagne, Belgique, Espagne, France Grande-Bretagne et Etats-Unis. Les thèmes évoqués proviennent de l’interview des RSSI et DSI des différentes entités du groupe NET2S et de la compilation des expériences de divers groupes de travail sur la sécurité des systèmes d’information européens. En complément, sont mentionnées les principales instances et initiatives européennes sur le sujet.

Convergences
Européens et Américains sont sensibles au problème de l’identity Management et de l’authentification forte. Il semble que le « login-passoire » soit en voie de disparition. Les banques italiennes dotent leurs clients de dispositifs physiques de calculette « one time password » et en font un argument commercial de lutte contre la fraude et le phishing. Les solutions d’authentification biométrique et de carte à puce se répandent dans l’ensemble de l’Europe, notamment auprès des dirigeants et des populations « sensibles » qui doivent protéger leur ordinateur portable et leurs données. De la même manière, la gestion sécurisée des « nomades » et les technologies connexes, WiFi, voix et téléphone sur IP, chat, peer-to-peer et autres clefs USB, sont une préoccupation commune.

Naturellement, tout le monde s’interroge sur la conformité réglementaire et juridique. Ajoutons une mention particulière pour la France concernant le « correspondant CNIL ». Dans le même registre, l’insertion de clauses de sécurité dans les contrats d’outsourcing interpellent les RSSI. A noter l’initiative de la DCSSI cherchant à standardiser ces clauses dans les appels d’offres de l’Etat. Ces bonnes pratiques pourraient être reprises par les grandes entreprises françaises, voire européennes.

La norme ISO 27001 est un sujet sur lequel on s’interroge beaucoup, y compris aux USA. « Faut-il y aller ou pas ? Quelles interactions avec les autres normes et règlements ? Est-ce utile ? La réponse proviendra du retour d’expérience des premières sociétés certifiées. Le Royaume-Uni semble en avance sur le sujet (il est à l’origine de la norme à travers la BS7799) et la France quantitativement en retard.

Sensibiliser les utilisateurs suscite l’intérêt des RSSI de tous les pays, particulièrement à la suite des nouvelles menaces de « social engineering » et de manipulation psychologique pour récupérer les mots de passe ou l’accès aux données confidentielles.

Divergences
Alors que les anglo-saxons (UK, Allemagne, USA) s’intéressent au budget et à la justification des coûts, les latins (France, Espagne), eux, prennent également en compte différents critères comme le facteur humain. Ils invoquent par exemple le gain en qualité de travail ou la protection des données personnelles.

Visiblement les plans de continuité d’activité et de secours font partie de problèmes résolus en France, alors que les Anglais et les Allemands cherchent encore à trouver la bonne formule pour créer une cellule de crise efficace et un plan de secours. Il est d’ailleurs notable que les anglo-saxons se concentrent plus sur la mise en œuvre alors que les Français prennent plus de temps pour la planification et la documentation.

Quelles sont les bonnes pratiques vis-à-vis des outils nomades ? Les décisions concernant l’utilisation de ces nouvelles technologies sont diamétralement opposées. Les Français semblent vouloir bannir l’usage de la téléphonie sur Skype, du peer-to-peer, du chat, du Blackberry et de tous ces types d’outil alors que les Anglais les adoptent pour des raisons d’efficacité. La question à se poser n’est-elle pas de comprendre « qui écoute les communications et dans quel but ? »

Initiatives européennes
Alors que chaque pays s’est organisé autour d’associations nationales, voire internationales, il existe désormais une entité européenne pour la sécurité des systèmes d’information et qui s’occupe de diffuser les bonnes pratiques. L’ENISA www.enisa.eu.int est notamment chargée de mettre en œuvre un système d’alerte de sécurité, coordonné au niveau européen et commun à plusieurs pays, au même titre que les « CERT » nationaux (Computer Emergency Response Team). Cette initiative s’inscrit dans le plan « eEurope 2005 », voté en mai 2002, précisant que « La sécurité des systèmes d’information est un élément clé pour la croissance d’Internet, en particulier avec le développement du haut débit ».

Par ailleurs, l’Europe prépare un immense système biométrique, le VIS (Visa Information System). Ce dispositif va recenser à terme 70 millions de personnes et sera déployé à partir de fin 2006. Le cœur du système - couplé au passeport- dénommé BMS (Biometric Matching System), sera installé sur les quelque 3500 ordinateurs consulaires et alimentera une base de données européenne globale. Un « centre d’excellence », basé à Bruxelles réunira toutes les parties prenantes du projet et pourra constituer une source de bonnes pratiques pour l’ensemble de la profession.

Enfin, rappelons que la convention européenne sur la cybercriminalité a été signée ou ratifiée depuis Juillet 2004 par 37 états (en particulier les 25 pays d’Europe, plus, entre autres l’Albanie, la Croatie, l’Afrique du Sud, le Canada, les USA et le Japon) et permet les poursuites légales sur un territoire autre que celui de la « victime ». La convention s’applique aux actions pénales liées aux crimes de pornographie enfantine, de fraude informatique et d’intrusions dans les réseaux et les systèmes. Notons à propos de la lutte contre la pédo-pornographie, l’initiative « SAFER INTERNET » qui regroupe deux sites web et un réseau d’alerte. INHOPE www.inhope.org permet au public de donner l’alerte lorsqu’il repère un contenu illégal sur Internet et INSAFE www.saferinternet.org informe parents, enfants et éducateurs, sur l’utilisation sans risque d’Internet en regroupant et diffusant tous les conseils et informations à ce sujet.

Coupe du Monde de la Sécurité
Enfin, on ne pouvait pas passer sous silence l’enquête de McAfee, menée par MORI Research en mai 2006 auprès de 600 professionnels de l’informatique, à propos de leur sentiment sur la sécurité de leur système d’information. En cette année de coupe du monde de football, ce n’est pas une surprise de constater que l’Allemagne présente la « défense la plus solide » contre les cyber-menaces, alors que l’Italie arrive en 4ème… Comme quoi le football et la logique ne sont pas sœurs jumelles ! Les « Bleus » sont en tête du rapport « efficacité/prix en sécurité», ce qui ressemble pas mal à notre équipe de foot - surtout de la tête…- alors que le Royaume-Uni lutte pour les places d’honneur. Les Espagnols et les Hollandais sont dans une phase de méforme et ont du mal à contrer des menaces de plus en plus sophistiquées. Il est clair pour tout le monde qu’une défense « en béton » est la clef du succès. L’évaluation a porté sur la satisfaction en matière de sécurité du réseau, le retour sur investissement et les parades aux attaques constatées dans les derniers six mois.

États généraux : les masques tombent

Le syndicat national des journalistes communique : Les patrons de presse piaffent de plus en plus devant la cheminée où ils ont déposé leurs gros sabots.

Wizzgo vs NouvelObs : Deux poids deux mesures

L´application stricte de la loi DADVSI à l´encontre de Wizzgo. Le Nouvel Observateur va t il être aussi condamné à 480.000 euros d'amende ?

Alliance du mouvement de la jeunesse sur Internet

Les réseaux internet dédiés aux adolescents vont être utilisés pour combattre le crime et le terrorisme.

Jugement de plusieurs pirates de cartes bancaires

Deux anciens légionnaires, des chomeurs, un étudiant, un électricien et un agronome jugés dans une vaste fraude à la carte bancaire dans le sud de la France.

Trois nouvelles taxes pour l'Internet Français

Afin de trouver l´argent qui est censé faire survivre la télévision publique française, trois nouvelles taxes risquent d´arriver sur l'Internet hexagonal.

Clés USB: le Père-Noël est une ordure ?

Méfiez-vous des clés USB que vous allez acquérir pour Noël. Même le Pentagone Américain conseille de ne pas introduire ce genre de matériel dans son ordinateur.

Riposte graduée : Albanel délire

Comment rire avec Christine Albanel ? En l'écoutant expliquer que le retrait de l´amendement 138 était une - très bonne nouvelle -.

Un microcontrôleur pour cartes d´identité sécurisées

Le ST23YR80, un microcontrôleur équipé d'une technologies de cryptographie et d´une capacité de mémoire accrue pour le stockage des données biométriques.

Des images pour adultes sur le site d'une Prefecture Française !

Exclusif : La Préfécture de l'Yonne propose sur son espace web officiel un programme sportif qui risque de finir dans le journal du Hard !

Chrome aurait grignote du cote du code source de Microsoft

Google aurait désassemblé le code source de Windows Vista afin de faire fonctionner son navigateur Internet Chrome.

Le cheval de Troie avait des plumes

La police bosniaque arrête un dangereux cheval de Troie agissant dans une prison du pays. Le trojan avait des plumes !

Stitcher Unlimited 2009 et ImageModeler 2009

Ces logiciels proposent des capacités avancées de création de panoramas et de modélisation 3D à partir d’images 2D

Une fréquence pour HAG’ FM

Le Conseil supérieur de l’audiovisuel, réuni en assemblée plénière le 22 juillet 2008, a sélectionné les candidats à l’exploitation de 279 fréquences FM.

L'armée française a infiltré FREE

Exclu - Étrange lien de redirection vidéo sur le site officiel du Ministère de la Défense Française.

Force Commerciale

Force Commerciale : recrutement de commerciaux et actualité de la vente.

WESTCON SECURITY lance une nouvelle formation

Pour répondre à une demande forte du marché, Westcon Security France élargit son catalogue avec une formation sur les fondamentaux de la sécurité des systèmes d’information (SSI).

Réagissez à ce contenu