L'invité
de la
rédaction
Avril-mai 2006
Special Eurosec 2006
Compliance, Outsourcing, Offshoring de la sécurité... autant de défis à relever pour un monde technologique que le terrorisme convoite chaque jour un peu plus... On comprend mieux dés lors le succès de l'édition 2006 du Forum Eurosec qui devait s'ouvrir au CNIT devant un parterre de spécialistes venu en très grand nombre écouter avec attention les propos des meilleurs spécialistes mondiaux du domaine ainsi que le discours d'ouverture de Pierre de Bousquet, Directeur de la DST, la plus haute autorité française sur le sujet. Hervé Moizot, Directeur d'XP- Conseil répond à nos questions sur cette édition exceptionnelle
Hervé Morizot, vous êtes le Directeur d’XP-Conseil , Groupe Devoteam, et à ce titre l’organisateur du Forum Eurosec 2006. Avant d’aborder le contenu de ce colloque, peut-on rappeler les caractéristiques de votre marché et celles de votre cabinet conseil, spécialisé dans la sécurité?
Hervé Morizot : Globalement le marché se porte bien, donc nous nous portons très bien. Devoteam possède 2 marques dans le domaine de la sécurité : XP Conseil et Apogée Communication, soit en tout 150 consultants (XP Conseil) et Ingénieurs sécurité (Apogée). Nous avons réalisé une très forte croissance l’année passée, passant de 100 à 150 consultants et experts sécurité en France. Et s’agissant de cette croissance, on ne sent pas de fléchissement pour l’année qui vient, d’où un plan de recrutement assez agressif.
Peut-on esquisser le CA de cet ensemble?
Hervé Morizot : Le CA est aujourd’hui de 20M d’Euros ce sui donne pour les 2 sociétés réunies une croissance annuelle de 40 à 50%. Belle croissance donc. La vraie difficulté c’est le recrutement. Là, il faut être très sélectif. Donc le frein est là. Il faut rester sélectif pour la qualité des recrutements en cas de retournement de marché. Des exécutants on en trouve mais on cherche des gens inventifs, constructifs et productifs, plus que des exécutants.
On imagine que ce ne doit pas être si facile dans une spécialité telle que la vôtre. Rappelons pour nos lecteurs ce que recouvre l’activité du cabinet et comment cela a pu évoluer au cours des années.
Hervé morizot : L’offre historique est la gouvernance de la sécurité : stratégie, pilotage, gestion des risques, méthodologies, audit, Communication...
Le passage sous contrôle du groupe Devoteam a-t-il déterminé un Shift vers plus d’informatique et de technologies?
Hervé morizot : Plus d’informatique, oui. Mais ce n’est pas lié uniquement à l’arrivée de Devoteam. Il se trouve que l’on s’est recentré sur la sécurité des Systèmes d’Information.
Donc recentrage vers la sécurité des systèmes d’Information, un thème majeur du Forum Eurosec depuis toujours. Peut-on esquisser un premier bilan d’Eurosec 2006?
Hervé morizot : Il y a eu plus de gens que les années précédentes. Un peu plus de 300, soit là aussi une croissance de près de 50% puisque nous étions environs 200 l’an dernier. Les participants sont des DSI, Directeurs Sécurité et RSSI, Responsables de sécurité opérationnelle, consultants sécurité et environ 60 personnes provenant d’horizons plus divers tels que les écoles ou encore les journalistes.
Plus de participants et certainement plus de sujets. A-t-on vu certains thèmes se mettre plus en valeur que d’autres?
Hervé morizot : En fait non et cela est en soi un message. La sécurité continue à accroître sa maturité mais il n’y a pas un sujet qui perce plus qu’un autre, au sens où l’on a pu le voire il y a 5 ans avec les PKI ou encore la Gestion des droits il y a 3 ans. C’est donc plus un phénomène de maturation: le marché, et le métier des DSSI (Directeurs de la Sécurité des Systèmes d’Information), évolue très vite et prend de l’ampleur dans toutes ses spécialités. Il monte en rattachement hiérarchique et en projets stratégiques. Il permet donc d’assurer la sécurité des SI tout en montant en gamme dans la sécurité opérationnelle de l’entreprise ce qui intéresse les DG qui sont naturellement sensibles au Management du Risque.
Si aucun sujet n’apparaît donc plus important qu’un autre dans cet ensemble à maturité a-t-on toutefois constaté l’arrivée de thèmes, si ce n’est nouveaux, disons au moins incontournables? Le juridique semble prendre le pas sur les aspects techniques, qu’en est-il?
Hervé morizot : Le juridique n’était pas plus présent cette année que les années précédentes. Maintenant il est clair que les législations et les réglementations deviennent de plus en plus complexes et que même les juristes commencent à avoir du mal à s’y retrouver. C’est donc de plus en plus difficile, même pour les experts du sujet. Il y a donc là une réelle difficulté pour les entreprises, le droit n’étant pas une science exacte. Aujourd’hui les avocats ont des interprétations qui ne sont pas toutes cohérentes entre elles, ce qui nécessite certainement plus d’attention et ce qui apparaît au travers de nos débats.
Irait-on donc vers une plus grande "judiciarisation" de la société?
Hervé morizot : Sur l’information objective on va plus vers une normalisation de la société de l’information : on a Bâle II, SOX (Sarbanes - Oxkley), les normes dans les secteurs de la santé.... et l’on sent ces réglementations comme des éléments motivants pour les entreprises, plus que les lois elles-mêmes. Les Boosters réglementaires seraient donc plus efficaces que le législatif. C’est peut-être un peu cru de le dire comme cela mais c’est un sentiment qui s’appuie sur l’observation des grandes équipes de centaines de personnes travaillant sur SOX dans le secteur bancaire ou encore dans les grands groupes industriels. Donc on assiste certes à une judiciarisation mais surtout à une poussée du réglementaire.
D’un autre côté le « non droit » semble faire son entrée aussi dans les aspects privés de la vie des utilisateurs des SI. On a parlé d’ «Ingénierie Sociale», un terme qui vient des USA. Est-ce un réel problème?
Hervé morizot : Pour moi, ce n’est pas l’évolution la plus structurante. Il existe en effet d’autres phénomènes plus redoutables pour l’entreprise : le nomadisme où là il est clair que le développement continue avec des accès extérieurs de plus en plus nombreux et pas toujours maîtrisés car provenant de n’importe où et qui doivent être autorisés d’une certaine manière d’autant qu’ils se présentent sous les formes les plus diverses telles que les clefs USB, les clefs Wifi, les PDA, les Smartphones.... du coup l’info est sur des supports de plus en plus variés et généralement non sécurisés. C’est éminemment le cas de la clef USB. C’est donc un problème de fond très important... Idem pour les messageries instantanées. C’est donc un vrai problème et ça va empirer rapidement car la technologie disponible évolue très vite. Après je retiendrais le phénomène de convergence entre voix et données : aujourd’hui on a de plus en plus de messages encapsulés et le filtrage n’est plus adapté d’autant que les volumes et les flux explosent. Enfin il faut aussi considérer que le danger n’est pas tant extérieur qu’intérieur. Au sein de l’entreprise on observait auparavant une protection "périmétrique". Aujourd’hui sur ce point les entreprises sont à bon niveau, mais avec des entreprises étendues comprenant 100 000 personnes vous trouvez facilement 200 bandits dans le personnel, du coup il faut savoir se protéger en interne et là ça devient compliqué du fait de la convergence qui génère des volumes de données importants. Il faut dés lors saucissonner le SI, ce qui n’est pas une mince affaire. Au delà il y a le problème d’infogérence. Les entreprises externalisent de plus en plus tout ou partie de l’information ce qui apporte des risques nouveaux.
C’était d’ailleurs un thème particulièrement adressé cette année lors des débats de spécialistes
Hervé morizot : Oui et cela a d’ailleurs été traité par les juristes et les ingénieurs dans la logique contractuelle. Là il y a un vrai phénomène.
Devrait-on pour ces raisons sécuritaires assister à un retournement des marchés de l’Offshoring?
Hervé morizot : Franchement je ne le pense pas. On voit des banques qui externalisent des données sensibles au Royaume Uni ou encore aux USA. Cela était impensable il y a encore quelques années. En attendant on atteint peut-être là la limite de l’exercice mais force est de constater que certains le font.
Les débats ont porté parfois sur les craintes relevant des pratiques ou des législations faibles dans certains pays émergeants. Qu’en est-il? Doit-on craindre des dérives incontrôlables?
Hervé morizot : Je n’en suis pas sûr, même si certains pays de l’Est sont chauds et réputés pour le Hacking, mais je ne suis pas convaincu qu’il faille montrer du doigt l’Offshoring d’un point de vue général. Certains pays comme l’Inde montrent en effet l’émergence de pratiques très inventives et professionnelles. D’autre part il faut avoir une bonne visibilité dans la sécurité et ceci ne se réduit pas au seul contrat. Ainsi il faut des procédures, des audits, des indicateurs fins, des tableaux de bord, des audits impromptus... On peut même par exemple au travers d’un sous-traitant habilité secret défense obtenir un niveau de sécurité que vous n’avez pas vous même. Donc on peut élever le niveau de sécurité en externalisant.
Dernier point qui formait la cerise sur le gâteau du colloque avec l’intervention d’un personnage majeur dans le domaine de la cybercriminalité et qui a entretenu longuement les participants d’Eurosec 2006 sur les risques de terrorisme sur l’internet ...
Hervé morizot : Monsieur Pierre de Bousquet, directeur de la DST a effet parlé plus globalement de terrorisme. C’est une menace en tous cas qu’il nous faut surveiller, dans le cadre plus large de la cybercriminalité, mais pour autant ce type de terrorisme n’est pas encore développé. Donc il s’agit d’un vrai risque à terme pour les entreprises et une vraie nécessité de suivi pour l’Etat. A titre d’exemple vous imaginez les conséquences d’une panne de plusieurs semaines du SI de l’Assurance Maladie ou de la Caisse des retraites. Si le site est vulnérable et indisponible pendant des semaines vous atteignez l’émeute. Donc le risque est réel. Idem pour les SI des grandes entreprises de production et les sites marchands. On en discute avec les grands clients industriels mais après réflexion leurs SI apparaissent moins propices aux attaques que leurs environnements physiques. Donc cette nouvelle menace on y croit mais fort heureusement comme je l’indiquais ce risque n’est pas encore avéré à court terme. Disons que le risque n’est pas uniquement là.
En conclusion du colloque si vous deviez retenir les tendances majeures pour le secteur de la sécurité quelles seraient-elles?
Hervé morizot : Je dirai que l’on voit émerger 2 tendances : d’une part la sécurité devient un problème d’entreprise qui prend de la maturité et se rapproche des préoccupations de la DG au sens du management global des risques. Et là clairement les DSSI montent en gamme. Et en parallèle je dirai que l’on voit poindre des problèmes techniques nouveaux liés notamment à la convergence des données. Il convient donc de rester vigilant sur l’infrastructure car on assiste à des changements de fond majeurs qui s’opèrent à très grande vitesse: nomadisme, externalisation, ASP... Et à nouvelles technologies, nouveaux risques. Et pour conclure de manière encore plus synthétique je dirai que le métier de la sécurité s’élargit et que le rythme des évolutions s’accélère.
Propos recueillis par Bertrand Villeret
Rédacteur en chef
ConsultingNewsLine
Pour Info
www.xpconseil.com/
Whoswoo: Hervé Morizot
Avril-mai 2006
Special Eurosec 2006
Questions à
Hervé Morizot, Directeur d'XP-Conseil - Groupe
Devoteam
et Président du Forum Eurosec 2006
et Président du Forum Eurosec 2006
Compliance, Outsourcing, Offshoring de la sécurité... autant de défis à relever pour un monde technologique que le terrorisme convoite chaque jour un peu plus... On comprend mieux dés lors le succès de l'édition 2006 du Forum Eurosec qui devait s'ouvrir au CNIT devant un parterre de spécialistes venu en très grand nombre écouter avec attention les propos des meilleurs spécialistes mondiaux du domaine ainsi que le discours d'ouverture de Pierre de Bousquet, Directeur de la DST, la plus haute autorité française sur le sujet. Hervé Moizot, Directeur d'XP- Conseil répond à nos questions sur cette édition exceptionnelle
Hervé Morizot, vous êtes le Directeur d’XP-Conseil , Groupe Devoteam, et à ce titre l’organisateur du Forum Eurosec 2006. Avant d’aborder le contenu de ce colloque, peut-on rappeler les caractéristiques de votre marché et celles de votre cabinet conseil, spécialisé dans la sécurité?
Hervé Morizot : Globalement le marché se porte bien, donc nous nous portons très bien. Devoteam possède 2 marques dans le domaine de la sécurité : XP Conseil et Apogée Communication, soit en tout 150 consultants (XP Conseil) et Ingénieurs sécurité (Apogée). Nous avons réalisé une très forte croissance l’année passée, passant de 100 à 150 consultants et experts sécurité en France. Et s’agissant de cette croissance, on ne sent pas de fléchissement pour l’année qui vient, d’où un plan de recrutement assez agressif.
Peut-on esquisser le CA de cet ensemble?
Hervé Morizot : Le CA est aujourd’hui de 20M d’Euros ce sui donne pour les 2 sociétés réunies une croissance annuelle de 40 à 50%. Belle croissance donc. La vraie difficulté c’est le recrutement. Là, il faut être très sélectif. Donc le frein est là. Il faut rester sélectif pour la qualité des recrutements en cas de retournement de marché. Des exécutants on en trouve mais on cherche des gens inventifs, constructifs et productifs, plus que des exécutants.
On imagine que ce ne doit pas être si facile dans une spécialité telle que la vôtre. Rappelons pour nos lecteurs ce que recouvre l’activité du cabinet et comment cela a pu évoluer au cours des années.
Hervé morizot : L’offre historique est la gouvernance de la sécurité : stratégie, pilotage, gestion des risques, méthodologies, audit, Communication...
Le passage sous contrôle du groupe Devoteam a-t-il déterminé un Shift vers plus d’informatique et de technologies?
Hervé morizot : Plus d’informatique, oui. Mais ce n’est pas lié uniquement à l’arrivée de Devoteam. Il se trouve que l’on s’est recentré sur la sécurité des Systèmes d’Information.
Donc recentrage vers la sécurité des systèmes d’Information, un thème majeur du Forum Eurosec depuis toujours. Peut-on esquisser un premier bilan d’Eurosec 2006?
Hervé morizot : Il y a eu plus de gens que les années précédentes. Un peu plus de 300, soit là aussi une croissance de près de 50% puisque nous étions environs 200 l’an dernier. Les participants sont des DSI, Directeurs Sécurité et RSSI, Responsables de sécurité opérationnelle, consultants sécurité et environ 60 personnes provenant d’horizons plus divers tels que les écoles ou encore les journalistes.
Plus de participants et certainement plus de sujets. A-t-on vu certains thèmes se mettre plus en valeur que d’autres?
Hervé morizot : En fait non et cela est en soi un message. La sécurité continue à accroître sa maturité mais il n’y a pas un sujet qui perce plus qu’un autre, au sens où l’on a pu le voire il y a 5 ans avec les PKI ou encore la Gestion des droits il y a 3 ans. C’est donc plus un phénomène de maturation: le marché, et le métier des DSSI (Directeurs de la Sécurité des Systèmes d’Information), évolue très vite et prend de l’ampleur dans toutes ses spécialités. Il monte en rattachement hiérarchique et en projets stratégiques. Il permet donc d’assurer la sécurité des SI tout en montant en gamme dans la sécurité opérationnelle de l’entreprise ce qui intéresse les DG qui sont naturellement sensibles au Management du Risque.
Si aucun sujet n’apparaît donc plus important qu’un autre dans cet ensemble à maturité a-t-on toutefois constaté l’arrivée de thèmes, si ce n’est nouveaux, disons au moins incontournables? Le juridique semble prendre le pas sur les aspects techniques, qu’en est-il?
Hervé morizot : Le juridique n’était pas plus présent cette année que les années précédentes. Maintenant il est clair que les législations et les réglementations deviennent de plus en plus complexes et que même les juristes commencent à avoir du mal à s’y retrouver. C’est donc de plus en plus difficile, même pour les experts du sujet. Il y a donc là une réelle difficulté pour les entreprises, le droit n’étant pas une science exacte. Aujourd’hui les avocats ont des interprétations qui ne sont pas toutes cohérentes entre elles, ce qui nécessite certainement plus d’attention et ce qui apparaît au travers de nos débats.
Irait-on donc vers une plus grande "judiciarisation" de la société?
Hervé morizot : Sur l’information objective on va plus vers une normalisation de la société de l’information : on a Bâle II, SOX (Sarbanes - Oxkley), les normes dans les secteurs de la santé.... et l’on sent ces réglementations comme des éléments motivants pour les entreprises, plus que les lois elles-mêmes. Les Boosters réglementaires seraient donc plus efficaces que le législatif. C’est peut-être un peu cru de le dire comme cela mais c’est un sentiment qui s’appuie sur l’observation des grandes équipes de centaines de personnes travaillant sur SOX dans le secteur bancaire ou encore dans les grands groupes industriels. Donc on assiste certes à une judiciarisation mais surtout à une poussée du réglementaire.
D’un autre côté le « non droit » semble faire son entrée aussi dans les aspects privés de la vie des utilisateurs des SI. On a parlé d’ «Ingénierie Sociale», un terme qui vient des USA. Est-ce un réel problème?
Hervé morizot : Pour moi, ce n’est pas l’évolution la plus structurante. Il existe en effet d’autres phénomènes plus redoutables pour l’entreprise : le nomadisme où là il est clair que le développement continue avec des accès extérieurs de plus en plus nombreux et pas toujours maîtrisés car provenant de n’importe où et qui doivent être autorisés d’une certaine manière d’autant qu’ils se présentent sous les formes les plus diverses telles que les clefs USB, les clefs Wifi, les PDA, les Smartphones.... du coup l’info est sur des supports de plus en plus variés et généralement non sécurisés. C’est éminemment le cas de la clef USB. C’est donc un problème de fond très important... Idem pour les messageries instantanées. C’est donc un vrai problème et ça va empirer rapidement car la technologie disponible évolue très vite. Après je retiendrais le phénomène de convergence entre voix et données : aujourd’hui on a de plus en plus de messages encapsulés et le filtrage n’est plus adapté d’autant que les volumes et les flux explosent. Enfin il faut aussi considérer que le danger n’est pas tant extérieur qu’intérieur. Au sein de l’entreprise on observait auparavant une protection "périmétrique". Aujourd’hui sur ce point les entreprises sont à bon niveau, mais avec des entreprises étendues comprenant 100 000 personnes vous trouvez facilement 200 bandits dans le personnel, du coup il faut savoir se protéger en interne et là ça devient compliqué du fait de la convergence qui génère des volumes de données importants. Il faut dés lors saucissonner le SI, ce qui n’est pas une mince affaire. Au delà il y a le problème d’infogérence. Les entreprises externalisent de plus en plus tout ou partie de l’information ce qui apporte des risques nouveaux.
C’était d’ailleurs un thème particulièrement adressé cette année lors des débats de spécialistes
Hervé morizot : Oui et cela a d’ailleurs été traité par les juristes et les ingénieurs dans la logique contractuelle. Là il y a un vrai phénomène.
Devrait-on pour ces raisons sécuritaires assister à un retournement des marchés de l’Offshoring?
Hervé morizot : Franchement je ne le pense pas. On voit des banques qui externalisent des données sensibles au Royaume Uni ou encore aux USA. Cela était impensable il y a encore quelques années. En attendant on atteint peut-être là la limite de l’exercice mais force est de constater que certains le font.
Les débats ont porté parfois sur les craintes relevant des pratiques ou des législations faibles dans certains pays émergeants. Qu’en est-il? Doit-on craindre des dérives incontrôlables?
Hervé morizot : Je n’en suis pas sûr, même si certains pays de l’Est sont chauds et réputés pour le Hacking, mais je ne suis pas convaincu qu’il faille montrer du doigt l’Offshoring d’un point de vue général. Certains pays comme l’Inde montrent en effet l’émergence de pratiques très inventives et professionnelles. D’autre part il faut avoir une bonne visibilité dans la sécurité et ceci ne se réduit pas au seul contrat. Ainsi il faut des procédures, des audits, des indicateurs fins, des tableaux de bord, des audits impromptus... On peut même par exemple au travers d’un sous-traitant habilité secret défense obtenir un niveau de sécurité que vous n’avez pas vous même. Donc on peut élever le niveau de sécurité en externalisant.
Dernier point qui formait la cerise sur le gâteau du colloque avec l’intervention d’un personnage majeur dans le domaine de la cybercriminalité et qui a entretenu longuement les participants d’Eurosec 2006 sur les risques de terrorisme sur l’internet ...
Hervé morizot : Monsieur Pierre de Bousquet, directeur de la DST a effet parlé plus globalement de terrorisme. C’est une menace en tous cas qu’il nous faut surveiller, dans le cadre plus large de la cybercriminalité, mais pour autant ce type de terrorisme n’est pas encore développé. Donc il s’agit d’un vrai risque à terme pour les entreprises et une vraie nécessité de suivi pour l’Etat. A titre d’exemple vous imaginez les conséquences d’une panne de plusieurs semaines du SI de l’Assurance Maladie ou de la Caisse des retraites. Si le site est vulnérable et indisponible pendant des semaines vous atteignez l’émeute. Donc le risque est réel. Idem pour les SI des grandes entreprises de production et les sites marchands. On en discute avec les grands clients industriels mais après réflexion leurs SI apparaissent moins propices aux attaques que leurs environnements physiques. Donc cette nouvelle menace on y croit mais fort heureusement comme je l’indiquais ce risque n’est pas encore avéré à court terme. Disons que le risque n’est pas uniquement là.
En conclusion du colloque si vous deviez retenir les tendances majeures pour le secteur de la sécurité quelles seraient-elles?
Hervé morizot : Je dirai que l’on voit émerger 2 tendances : d’une part la sécurité devient un problème d’entreprise qui prend de la maturité et se rapproche des préoccupations de la DG au sens du management global des risques. Et là clairement les DSSI montent en gamme. Et en parallèle je dirai que l’on voit poindre des problèmes techniques nouveaux liés notamment à la convergence des données. Il convient donc de rester vigilant sur l’infrastructure car on assiste à des changements de fond majeurs qui s’opèrent à très grande vitesse: nomadisme, externalisation, ASP... Et à nouvelles technologies, nouveaux risques. Et pour conclure de manière encore plus synthétique je dirai que le métier de la sécurité s’élargit et que le rythme des évolutions s’accélère.
Propos recueillis par Bertrand Villeret
Rédacteur en chef
ConsultingNewsLine
Pour Info
www.xpconseil.com/
Whoswoo: Hervé Morizot
Copyright Quantorg 2006
pour ConsultingNewsLine
All rights reserved
Reproduction interdite
