L'invité de la
rédaction
Avril-mai 2005
Special Eurosec 2005
WiFi, RFID... les technologies nouvelles n'ont pas manqué d'être abondamment questionnées au cours du Forum Eurosec 2005. Mais au delà de la technologie, la part croissante des aspects juridiques et sociétaux qui ne manquent pas de se développer font que la sécurité devient une spécialité de plus en plus complexe et pour laquelle les entreprises et les organisations ont de plus en plus recours au conseil. Hervé Moizot brosse pour nous les tendances du moment .
Monsieur Morizot vous êtes le Directeur d’XP Conseil et à ce titre vous avez organisé le forum Eurosec. Comment voyez-vous cette édition 2005. Une réussite ?
Hervé Morizot: Le forum Eurosec 2005 a été une belle réussite, principalement sur trois plans :
- Le programme a été reconnu varié, riche et innovant ;
- La qualité des intervenants a été plus que jamais saluée ;
- Le nombre de clients participants est en hausse de près de 40% par rapport à
Eurosec 2004
Selon vous quelles sont les nouveautés apparues pour ce millésime 2005?
Hervé Morizot: Nous avons plus que jamais mis l’accent sur les retours d’expérience pratiques concernant la majorité des problématiques de sécurité rencontrées par les entreprises. Hormis un poids particulier cette année donné à la problématique de la continuité des activités, deux thèmes sont apparus :
- Le débat sur le rôle des acteurs de la sécurité dans les problématiques
d’Intelligence économique
- L’apport et surtout les attentes des entreprises et administrations face aux
travaux de la Commission Européenne sur la sécurité des systèmes
d’information ;
Observe-t-on une évolution sur quelques années des thématiques intéressant les entreprises?
Hervé Morizot: Les problématiques intéressant les entreprises sont sans doute de plus en plus variées :
- Elles concernent plus que jamais les problématiques de pilotage de la
sécurité (politiques, gestion des risques, audits et contrôles, tableaux de bord,
sensibilisation et certification, …)
- Elles concernent aussi les problématiques techniques, de plus en plus
pointues liées en particulier à la mobilité et aux autres nouveautés (téléphonie
sur IP, chantage au déni de service,…)
- Elles concernent enfin les problématiques de gestion opérationnelle de la
sécurité, notamment l’administration « centralisée » des composants de
sécurité et le suivi et la correction des vulnérabilités
- Elles sont de plus en plus corrélées avec des approches réglementaires
issues de Bale2 ou de SOX
On a l’impression que les thèmes abordés sont aujourd’hui plus packagés, paiements sécurisé, infections virales, attaques...alors qu’il y a quelques années on était plus près de la technique, logiciels, cryptage... qu’en pensez-vous?
Hervé Morizot: Parfaitement, ceci répond effectivement à une attente forte des participants d’Eurosec : profiter d’un retour d’expérience global sur une problématique de sécurité d’entreprise. Ce retour d’expérience est d’autant plus intéressant qu’il est orienté sur une solution globale et pas sur un composant unique. Chacun des thèmes ainsi retenu par le Comité de Programme Eurosec est ainsi, dans la mesure du possible, abordé sous ses différents aspects : technique, gestion opérationnelle et offre du marché, management, juridique, …
WiFi et RFID ont été fortement publicisé récemment et sont apparus comme des thèmes majeurs du présent colloque. De quoi s’agit-il en fait?
Hervé Morizot: Le RFID est une technologie de marquage électronique d’éléments physiques sur la base d’une puce radio courte distance. Elle est donc utilisable sans contact. Elle permet, par exemple, de remplacer le code barre dans une gestion de stock. La modification du stock peut être réalisée automatiquement lors de la détection d’une sortie d’un élément marqué. Les puces RFID sont également capables de stocker des informations. Elles peuvent alors être utilisée, par exemple, pour le suivi de la chaîne du froid en traçant les températures enregistrées. Il est prévu d’étendre l’usage de cette technologie vers des usages de plus en plus importants (carte d’identité électronique par exemple) pas forcément corrélés au niveau de sécurité fourni par défaut. Il est donc normal de s’interroger sur la pertinence de ses extensions et sur une éventuelle amélioration des mesures de sécurité de la technologie RFID.
Le WiFi et plus largement toutes les technologies autorisant la mobilité sont un enjeu majeur pour les entreprises. Elles doivent permettrent d’étendre la couverture du système d’information de l’entreprise. Ici également, la mise en place d’une stratégie de mobilité ne peut être réalisée sans prendre en compte les risques. Une technologie sans fil est par essence écoutable. Le chiffrement qui n’est pas ressenti comme obligatoire ailleurs devient indispensable pour les technologies sans fil. La plupart des entreprises ont basé leur protection sur une protection périmétrique (firewall, serveur d’accès distants, …). La mobilité et les réseaux sans fil remettent en cause cette méthode de protection.
Au delà de la technologie, WiFi et RFID ont été au cœur de débats de société. Cet aspect sociétal n’est-il pas finalement l’enjeu principal pour l’avenir?
Hervé Morizot: La problématique est différente pour les deux technologies. Si son usage s’étend, le RFID pourrait être à la base de l’authentification des individus. Il se pose alors de fait des débats de société sur la nécessité d’un tel dispositif. La technologie sans fil donne la capacité de récupérer des informations à l’insu de l’individu. Fichage, trace, suivi des déplacements « 1984 » n’est –il pas très loin ? Il faut néanmoins constater que cela ne constitue pas le principal enjeu des entreprises à ce jour, qui, au-delà de la protection des libertés individuelles, se focalisent sur la protection de leur patrimoine informationnel contre de très nombreux risques d’accidents, d’erreurs et de malveillance.
Le Wifi est lui plus une technologie qui pourrait révolutionner les conditions de travail. L’image d’Epinal représente un travailleur travaillant à son domicile voir depuis son jardin. Elle est beaucoup plus porteuse d’un message positif. Elle présente certes un risque de sécurité qui devra être résolu pour garantir son extension.
Il reste un aspect négatif lié à toutes les technologies sans fil : les rayonnements. Même s’il ne semble pas y avoir d’études cliniques probantes sur le sujet, ce risque potentiel est de plus en plus évoqué par le personnel des entreprises.
Dans un même ordre d’idée, les aspects juridiques semblent prendre en volume et devenir d’une grande complexité. Qu’en pensez-vous?
Hervé Morizot: Il est indéniable que les aspects juridiques représentent une dimension fondamentale de la sécurité des systèmes d’information, sans doute pour deux raisons principales :
- Les lois et règlements sont de plus en plus nombreux, complexes et
contraignants ;
- Les obligations juridiques et réglementaires peuvent être, voire doivent être
utilisées comme un "booster" des politiques de sécurité d’entreprises ou
comme une justification de leur renforcement.
Toujours sur ces aspects de sociétés, et du droit qui va avec, n’observe-t-on pas avec le "correspondant sécurité" un transfert de responsabilité de l’administration vers des individus dont le statut dans l’entreprise semble assez mal défini aujourd’hui?
Hervé Morizot: Les entreprises et administrations ont toujours eut une stricte obligation concernant les traitements nominatifs (déclaration de traitements, information et droit de rectification auprès des intéressés, protection des informations nominatives, …). Leur responsabilité ne me semble pas accrue par la « possibilité » de mise en place d’un correspondant sécurité, qui représente pour elles une organisation interne et un moyen de gestion plus qu’un transfert de responsabilité de l’administration vers les individus.
Si vous deviez retenir 3 thèmes intéressant les entreprises, du point de vue de la sécurité bien sûr, comment les classeriez-vous par ordre d’importance?
Hervé Morizot:
- La politique de sécurité et particulièrement l’identification du patrimoine
informationnel, la gestion des risques et la sensibilisation
- La continuité de l’infrastructure technique et de l’ensemble des activités
métiers
- L’optimisation des processus de gestion opérationnelle des composants de
sécurité
Pour terminer, et avant de se donner rendez-vous pour l’an prochain, pouvez-vous esquisser pour nos lecteurs les thèmes émergeant que l’on pourrait voir apparaître à Eurosec 2006?
Eurosec est depuis sa première édition conçu avec un Comité de Programme regroupant de nombreuses organisations et associations soucieuses de la sécurité des systèmes d’information et de son impact sur les entreprises et les usagers (12 associations et organisations dont le Clusif, le CIGREF et l’OSSIR). Le programme est issu de réunions de ce Comité de Programme. Il est donc impossible de préjuger du résultat et du programme de EUROSEC 2006. Il semble néanmoins pertinent de continuer à développer la problématique de guerre économique et de protection des informations stratrégiques.
Propos recueillis par Bertrand Villeret
Rédacteur en chef
ConsultingNewsLine
Pour Info
www.xpconseil.com/
Whoswoo: Hervé Morizot
Avril-mai 2005
Special Eurosec 2005
Questions à
Hervé Morizot, Directeur d'XP-Conseil
et Président du Forum Eurosec 2005
et Président du Forum Eurosec 2005
WiFi, RFID... les technologies nouvelles n'ont pas manqué d'être abondamment questionnées au cours du Forum Eurosec 2005. Mais au delà de la technologie, la part croissante des aspects juridiques et sociétaux qui ne manquent pas de se développer font que la sécurité devient une spécialité de plus en plus complexe et pour laquelle les entreprises et les organisations ont de plus en plus recours au conseil. Hervé Moizot brosse pour nous les tendances du moment .
Monsieur Morizot vous êtes le Directeur d’XP Conseil et à ce titre vous avez organisé le forum Eurosec. Comment voyez-vous cette édition 2005. Une réussite ?
Hervé Morizot: Le forum Eurosec 2005 a été une belle réussite, principalement sur trois plans :
- Le programme a été reconnu varié, riche et innovant ;
- La qualité des intervenants a été plus que jamais saluée ;
- Le nombre de clients participants est en hausse de près de 40% par rapport à
Eurosec 2004
Selon vous quelles sont les nouveautés apparues pour ce millésime 2005?
Hervé Morizot: Nous avons plus que jamais mis l’accent sur les retours d’expérience pratiques concernant la majorité des problématiques de sécurité rencontrées par les entreprises. Hormis un poids particulier cette année donné à la problématique de la continuité des activités, deux thèmes sont apparus :
- Le débat sur le rôle des acteurs de la sécurité dans les problématiques
d’Intelligence économique
- L’apport et surtout les attentes des entreprises et administrations face aux
travaux de la Commission Européenne sur la sécurité des systèmes
d’information ;
Observe-t-on une évolution sur quelques années des thématiques intéressant les entreprises?
Hervé Morizot: Les problématiques intéressant les entreprises sont sans doute de plus en plus variées :
- Elles concernent plus que jamais les problématiques de pilotage de la
sécurité (politiques, gestion des risques, audits et contrôles, tableaux de bord,
sensibilisation et certification, …)
- Elles concernent aussi les problématiques techniques, de plus en plus
pointues liées en particulier à la mobilité et aux autres nouveautés (téléphonie
sur IP, chantage au déni de service,…)
- Elles concernent enfin les problématiques de gestion opérationnelle de la
sécurité, notamment l’administration « centralisée » des composants de
sécurité et le suivi et la correction des vulnérabilités
- Elles sont de plus en plus corrélées avec des approches réglementaires
issues de Bale2 ou de SOX
On a l’impression que les thèmes abordés sont aujourd’hui plus packagés, paiements sécurisé, infections virales, attaques...alors qu’il y a quelques années on était plus près de la technique, logiciels, cryptage... qu’en pensez-vous?
Hervé Morizot: Parfaitement, ceci répond effectivement à une attente forte des participants d’Eurosec : profiter d’un retour d’expérience global sur une problématique de sécurité d’entreprise. Ce retour d’expérience est d’autant plus intéressant qu’il est orienté sur une solution globale et pas sur un composant unique. Chacun des thèmes ainsi retenu par le Comité de Programme Eurosec est ainsi, dans la mesure du possible, abordé sous ses différents aspects : technique, gestion opérationnelle et offre du marché, management, juridique, …
WiFi et RFID ont été fortement publicisé récemment et sont apparus comme des thèmes majeurs du présent colloque. De quoi s’agit-il en fait?
Hervé Morizot: Le RFID est une technologie de marquage électronique d’éléments physiques sur la base d’une puce radio courte distance. Elle est donc utilisable sans contact. Elle permet, par exemple, de remplacer le code barre dans une gestion de stock. La modification du stock peut être réalisée automatiquement lors de la détection d’une sortie d’un élément marqué. Les puces RFID sont également capables de stocker des informations. Elles peuvent alors être utilisée, par exemple, pour le suivi de la chaîne du froid en traçant les températures enregistrées. Il est prévu d’étendre l’usage de cette technologie vers des usages de plus en plus importants (carte d’identité électronique par exemple) pas forcément corrélés au niveau de sécurité fourni par défaut. Il est donc normal de s’interroger sur la pertinence de ses extensions et sur une éventuelle amélioration des mesures de sécurité de la technologie RFID.
Le WiFi et plus largement toutes les technologies autorisant la mobilité sont un enjeu majeur pour les entreprises. Elles doivent permettrent d’étendre la couverture du système d’information de l’entreprise. Ici également, la mise en place d’une stratégie de mobilité ne peut être réalisée sans prendre en compte les risques. Une technologie sans fil est par essence écoutable. Le chiffrement qui n’est pas ressenti comme obligatoire ailleurs devient indispensable pour les technologies sans fil. La plupart des entreprises ont basé leur protection sur une protection périmétrique (firewall, serveur d’accès distants, …). La mobilité et les réseaux sans fil remettent en cause cette méthode de protection.
Au delà de la technologie, WiFi et RFID ont été au cœur de débats de société. Cet aspect sociétal n’est-il pas finalement l’enjeu principal pour l’avenir?
Hervé Morizot: La problématique est différente pour les deux technologies. Si son usage s’étend, le RFID pourrait être à la base de l’authentification des individus. Il se pose alors de fait des débats de société sur la nécessité d’un tel dispositif. La technologie sans fil donne la capacité de récupérer des informations à l’insu de l’individu. Fichage, trace, suivi des déplacements « 1984 » n’est –il pas très loin ? Il faut néanmoins constater que cela ne constitue pas le principal enjeu des entreprises à ce jour, qui, au-delà de la protection des libertés individuelles, se focalisent sur la protection de leur patrimoine informationnel contre de très nombreux risques d’accidents, d’erreurs et de malveillance.
Le Wifi est lui plus une technologie qui pourrait révolutionner les conditions de travail. L’image d’Epinal représente un travailleur travaillant à son domicile voir depuis son jardin. Elle est beaucoup plus porteuse d’un message positif. Elle présente certes un risque de sécurité qui devra être résolu pour garantir son extension.
Il reste un aspect négatif lié à toutes les technologies sans fil : les rayonnements. Même s’il ne semble pas y avoir d’études cliniques probantes sur le sujet, ce risque potentiel est de plus en plus évoqué par le personnel des entreprises.
Dans un même ordre d’idée, les aspects juridiques semblent prendre en volume et devenir d’une grande complexité. Qu’en pensez-vous?
Hervé Morizot: Il est indéniable que les aspects juridiques représentent une dimension fondamentale de la sécurité des systèmes d’information, sans doute pour deux raisons principales :
- Les lois et règlements sont de plus en plus nombreux, complexes et
contraignants ;
- Les obligations juridiques et réglementaires peuvent être, voire doivent être
utilisées comme un "booster" des politiques de sécurité d’entreprises ou
comme une justification de leur renforcement.
Toujours sur ces aspects de sociétés, et du droit qui va avec, n’observe-t-on pas avec le "correspondant sécurité" un transfert de responsabilité de l’administration vers des individus dont le statut dans l’entreprise semble assez mal défini aujourd’hui?
Hervé Morizot: Les entreprises et administrations ont toujours eut une stricte obligation concernant les traitements nominatifs (déclaration de traitements, information et droit de rectification auprès des intéressés, protection des informations nominatives, …). Leur responsabilité ne me semble pas accrue par la « possibilité » de mise en place d’un correspondant sécurité, qui représente pour elles une organisation interne et un moyen de gestion plus qu’un transfert de responsabilité de l’administration vers les individus.
Si vous deviez retenir 3 thèmes intéressant les entreprises, du point de vue de la sécurité bien sûr, comment les classeriez-vous par ordre d’importance?
Hervé Morizot:
- La politique de sécurité et particulièrement l’identification du patrimoine
informationnel, la gestion des risques et la sensibilisation
- La continuité de l’infrastructure technique et de l’ensemble des activités
métiers
- L’optimisation des processus de gestion opérationnelle des composants de
sécurité
Pour terminer, et avant de se donner rendez-vous pour l’an prochain, pouvez-vous esquisser pour nos lecteurs les thèmes émergeant que l’on pourrait voir apparaître à Eurosec 2006?
Eurosec est depuis sa première édition conçu avec un Comité de Programme regroupant de nombreuses organisations et associations soucieuses de la sécurité des systèmes d’information et de son impact sur les entreprises et les usagers (12 associations et organisations dont le Clusif, le CIGREF et l’OSSIR). Le programme est issu de réunions de ce Comité de Programme. Il est donc impossible de préjuger du résultat et du programme de EUROSEC 2006. Il semble néanmoins pertinent de continuer à développer la problématique de guerre économique et de protection des informations stratrégiques.
Propos recueillis par Bertrand Villeret
Rédacteur en chef
ConsultingNewsLine
Pour Info
www.xpconseil.com/
Whoswoo: Hervé Morizot
Copyright Quantorg 2005
pour ConsultingNewsLine
All rights reserved
Reproduction interdite
