Bruno Kerouanton

Me voilà donc en train (c’est le cas de le dire, je suis dans un train Thalys) de rouler vers Bruxelles, lieu de la prochaine conférence NetFocus. L’année dernière c’était à Lyon, et plus pratique pour moi, mais cela me fait (re)visiter des lieux sympathiques. Impressionnant, le service : plateau repas et WiFi gratuits (à 300km/h, via satellite!), ça décoiffe

NetFocus 2009 – Bruxelles

Pour rappel, j’y vais chaque année depuis 2003, et la plupart du temps intervenant dans le domaine de la sécurité informatique… forcément. Cette année, je ne serai que modérateur des forums de discussion, suite à une obscure raison, mais cela tombe finalement bien car vu la charge de travail au bureau je n’aurai certainement pas pu préparer quelque chose d’intéressant. Initialement j’avais pour ambition de parler du Schéma Directeur et de ses aspects sécurité, sujet que j’ai présenté en anglais lors du dernier Gartner IT Security Summit à Londres… pour une fois je me reposerai un peu, donc !

Cette année comme les précédentes, ce sera également pour moi l’occasion de retrouver mes anciennes connaissances et collègues français, que j’ai lâchement abandonnés en allant m’établir en Suisse. Les réunions NetFocus ayant lieu mensuellement sur Paris, je n’ai désormais l’occasion de les revoir seulement une fois par an, lors de la « grande » conférence. Certes, il y a également les Assises de la Sécurité, ce qui me fait une seconde occasion en octobre de revoir tout le monde, mais c’est finalement assez peu. Il faut avouer que cet aspect « réseautage » me manque un peu, et que certains RSSI étaient presque devenus très proches au fil des années.

Sur le programme, NetFocus rassemble les RSSI français pour que certains d’entre eux puissent exposer leurs théories, retours d’expériences et interrogations en matière de SSI. C’est toujours intéressant même si finalement au bout de quelques années je me rends bien compte que les mêmes thèmes sont toujours d’actualité. Je verrai à postériori si il est intéressant de faire un petit compte-rendu.

ASIS International – Montreux

Là où j’ai été surpris de ne rencontrer personne, justement, c’est lors de la conférence européenne d’ASIS International, il y a 2 semaines à Montreux… Pourtant, Montreux ce n’est pas trop loin, mais il semble que les français aient boudé la conférence. Parmi les quelque 400 participants, pourtant, on y trouvait plus d’un tiers ayant franchi soit l’atlantique, soit les continents. Par ordre décroissant en nombre, cela donnait de très nombreux américains (pour rappel, l’association est basée près de Washington DC, j’y reviendrai plus loin…) et british, des « nordiques » (Scandinavie: Suède, Norvège, Danemark…), des gens de l’Est (Russie, Serbie, Estonie, Ukraine etc), et des autres continents (Panama, Brésil, Australie, Singapour, Inde, Indonésie, Arabie etc.). Et sur les 400 participants, seulement 3 venant de France (je ne compte pas, j’étais inscrit comme venant de Suisse, forcément !).

Trois jours pleins (du dimanche midi au mercredi midi) de conférences sur la sécurité, pour les Directeurs Sécurité de grandes organisations. Et pour les vrais grands (du genre CA> 1milliard d’Euros), des tables rondes et rencontres spéciaque les, les CSO Roundtables. J’ai eu la grande chance d’y avoir été invité à titre d’essai, d’ailleurs, et donc d’étendre considérablement mon réseau vers des horizons lointains. Ce n’est pas si courant de rencontrer le CSO du Canal de Panama, ou le patron sécurité de la première radio en Afghanistan ! A défaut de voyager comme Yann, c’est toujours sympathique de discuter avec tous ces confrères, tout en profitant de l’occasion pour revoir sa maîtrise de l’anglais.

Mais il y a un détail que je ne vous ai pas précisé… Il s’agissait d’une conférence de CSO et non de CISO. Qu’est-ce donc, vous demandez-vous, si vous n’êtes pas versés dans le domaine de la sécurité ? Et bien le CISO (Chief Information Security Officer) s’occupe de sécurité informatique, tandis que le CSO (Chief Security Officer) s’occupe de la sécurité… tout court ! Et cela signifie que les moyens ne sont pas identiques. On ne parle plus de systèmes de détection d’intrusion, mais de caméras de surveillance. On ne parle plus de pirates, mais de terroristes et d’espions. On ne parle plus de cyberattaques, mais d’attentats ou de prise d’otage, on ne parle plus de virus et de botnets, mais de blanchiment d’argent, de bombes et de plans pandémie, et enfin on ne parle plus de plans de secours informatiques, mais de plans pandémie, de gestion de crise en cas d’enlèvement et de zones de sécurité dans les bâtiments. Un autre monde…

Chose intéressante, cependant, tout le monde s’acorde cependant à dire que le monde de la sécurité IT et de « leur » sécurité globale convergent… Al-Quaeda utilise Internet, tout comme les caméras de vidéosurveillance qui sont en IP voire Wifi (je sais, quelle hérésie, mais justement NOUS sommes là pour LEUR expliquer !), et bien d’autres choses telles que le blanchiment qui passent par Internet.

D’ailleurs même mon activité professionnelle converge : je viens d’être intégré au groupe de travail chargé de la vaccination de masse de la population en cas de pandémie, et charge à moi de trouver et mettre en oeuvre les logiciels, moyens de communication et autres points techniques liés à ces aspects lointains de l’informatique. C’est super intéressant de travailler avec les médecins spécialistes, les hopitaux, la protection civile et les cellules de communication sur tout cela.

Je suis convaincu que d’ici à quelques années le CSO et le CISO auront une bien meilleure collaboration, souhaitée ou contrainte par les évolutions technologiques qui changent réellement la donne, tant pour les RSSI (CISO) que pour les Directeurs Sécurité/Sûreté (CSO).

Ah, j’allais oublier… je vous disais qu’il se situait juste à côté de Washington DC, le siège de la petite association ASIS (une centaine de salariés, 85000 membres!). Plus précisément en Virginie, non loin de toutes ces fameuses agences « à trois lettres ». Coïncidence ou non ? A mon avis vu les personnes avec lesquelles j »ai échangé durant ces trois jours, je penche pour la seconde hypothèse (j’ai eu plus d’une fois l’impression d’être au sein d’une amicale des anciens (et moins anciens ?) de la grande muette américaine). D’ailleurs si le Directeur général du Danish Intelligence Services y a fait un speech, et que même Condolezza Rice y sera speaker pour la prochaine assemblée, c’est que je ne dois pas être si loin de la vérité. On verra bien ce que l’avenir me réservera, puisque j’en suis désormais membre, et que je trouve cette association sympathique.

Mais revenons à nos conférences.

SSTIC – Rennes

Et enfin, il y aura bientôt le SSTIC où je compte une fois de plus me rendre, comme à l’accoutumée. Cette année, j’ai prévu une Rump session qui devrait être utile à tous les participants, on verra bien. Mais c’est un secret, chut ! Pour ceux et celles qui s’y rendent, je loge au Kyriad de la place de la gare, juste au cas où.

C’est tout !

Mon train ralentit, le service de géolocalisation Thalys m’affiche sur la carte que nous sommes bientôt arrivés et que le train ne roule « plus qu’à » 150 km/h. C’est le moment de ranger les affaires. A bientôt.