Assises 2012 : La sécurité est-elle un échec ?

Je reviens des Assises de la Sécurité, édition 2012. Quelques pensées en vrac, sous forme critique et strictement personnelle. Approche frontale destinée à faire réagir. Je l’espère !

1. LES 4 GRANDES TENDANCES DU SI

Voyons comment les 4 tendances du moment dans le domaine de l’IT sont perçues dans le domaine de la sécurité des SI, du moins si je me réfère aux vendeurs présents et aux conférences…

Pour celui ou celle qui se réveillerait d’une longue hibernation ou qui aurait séjourné sur Mars ces dernières années, pour rappel il s’agit du Cloud, du BYOD, du Big Data, et enfin des réseaux sociaux (par ordre d’importance côté Assises).

1.1 Le Cloud vs DLP : gagnant 1 à 0

Le Cloud est présent partout, et il faut soit s’en défendre, soit en profiter selon les avis. Du côté des responsables de la sécurité, le message est clair : il faut s’en méfier et ne pas stocker ses données n’importe où. D’ailleurs, la plupart des vendeurs présents déclinent leurs produits de sécurité sous forme de solutions en mode SAAS, mais font profil bas à ce sujet dès qu’ils ont des RSSI en face, connaissant déjà leur réponse, et préfèrent les orienter vers des « appliances » physiques ou virtuelles à installer chez le client, voire parfois des appliances de protection des données dans le Cloud… Ah, le fameux serpent de mer relatif à la « fuite de données » ! Mais où ai-je donc déjà entendu cela ? C’est le fameux DLP (Data Leak/Loss Protection/Prevention), dont les vendeurs présents il y a encore 2 ans nous ventaient les mérites déclinées sous toutes formes. Mais cette année, aucun vendeur ne nous en a parlé… Un sujet déjà mort et enterré, car totalement antinomique avec le concept du Cloud et du BYOD, très probablement ! En tout cas, un point pour moi, car je n’y ai jamais cru et ai déjà prédit ce funeste sort lors de différentes conférences.

Pour en revenir au sujet du Cloud, il est clair que nos DSI devront composer avec, tout comme le BYOD (j’y reviens ultérieurement). Il n’est pas concevable de l’interdire ou de s’en affranchir, et les différentes affirmations et conseils éclairés de spécialistes visant à s’en protéger absolument ne tiennent absolument pas compte des réalités.

Enfin, symbole fort durant ces Assises, la non-présence de Microsoft, représenté par un stand ridicule en taille, relégué au fond. On aurait cru une start-up fauchée. Bernard Ourghanlian y était présent, mais je n’ai pas senti le dynamisme motivé des années précédentes. En filigrane, il faut y comprendre que la stratégie de Microsoft n’est plus de vendre de la sécurité, mais de vendre du Cloud. Et de ne plus vendre aux décideurs informatiques, mais aux décideurs tout-court : les CEO, CFO  (pour lesquels ils investissent bien plus en marketing), et surtout… les consommateurs ou usagers finaux ! Ce qui nous amène au second sujet, le BYOD (ramène ton matos).

1.2. Le BYOD (Bring-Your-Own-Device) et le VDS (VIP Dropbox Syndrom)

Déferlante, raz-de-marée, Tsunami. On pourrait l’appeler comme on veut, mais la réalité nous démontre au quotidien que tout le monde apporte son iPhone, iPad et autre système personnel au travail. Là encore, il est illusoire de vouloir tout interdire à tout prix, et la conférence du Directeur Général de l’ANSSI (Agence française de la SSI) intitulée « Savoir dire Non » et laissant très clairement entendre que l’interdiction des iPad et autres est une étape obligatoire, me semble également très délicate. Sur le principe, oui, ce n’est pas bien. En pratique, il serait suicidaire (sur le plan de l’économie d’entreprise, voire du pays) de vouloir à tout prix supprimer ces systèmes.

Aux Assises, la mode était aux vendeurs de containers sécurisés. Ces applications que l’on installe sur l’appareil mobile, et qui stockent tout dans un sorte de coffre-fort virtuel. Elles possèdent leur propre client de messagerie, leur propre visualisateur de documents PDF, Office et autres, et sont censées protéger l’appareil des tentations malsaines… En pratique, on le voit, personne ne semble à l’aise avec ce sujet. Les concepteurs de ces appareils Mobiles (Apple, Google, Microsoft) promettent que la sécurité est déjà en place. Ce qui est vrai pour Apple, beaucoup moins pour Google, et carrément pas pour Microsoft… Les éditeurs de solutions proposent des outils lourds à manier pour l’utilisateur, qui risquent fort de le décourager et de le pousser à s’orienter vers d’autres voies… Personnellement, ayant testé plusieurs solutions, je ne vois pas comment convaincre qui que ce soit d’utiliser ce type de solutions. Si il le faut, on le fera au forceps, mais ce n’est pas de gaité de coeur que les usagers vont se précipiter sur leur container sécurisé… Le MDM, sujet mort-né ? N’a t’on pas parlé durant la conférence plénière du « VDS », le « VIP Dropbox Syndrom », révélélateur du problème… si problème il y a !

La mobilité entraîne son lot de soucis, bien entendu. Des failles de sécurité, des failles juridiques et des problèmes de responsabilité qui ne sont pas simples à résoudre. Mais doit-on pour autant se résigner à tout abandonner ? Je n’en suis pas convaincu. Ma conclusion étaiera ce point.

1.3 Le Big Data

On en a parlé, très brièvement. Ce n’est pas un sujet de sécurité, du point de vue des vendeurs. Eux, ne savent pas traiter la sécurité de données volumineuses, et ne savent d’ailleurs même pas traiter les données volumineuses… à part un ou deux (dont le gagnant du prix de l’Innovation)

Le Big Data, c’est le domaine réservé des grands opérateurs du Cloud. Les Facebook, Apple, Google, Amazon et Microsoft qui ont déjà tout ce qu’il faut (en infrastructures ET en compétences) pour traiter le sujet. Les autres vendeurs n’ont qu’à se partager les miettes, mais dans la sécurité il semblerait qu’ils ne soient pas encore à l’affut.

1.4 Les réseaux sociaux

C’est un thème d’actualité, certes, mais là encore, personne dans le domaine de la SSI ne semble proposer quoi que ce soit. Défaitisme ? Parti pris car l’immense majorité des réseaux sociaux sont américains et « déjà sous contrôle », donc non sécurisables ? Je développe un peu plus bas ma pensée suite à ce constat.

* *

2. LA SECURITE EST-ELLE UN ECHEC ?

En tout cas, je ne peux que repenser à la conférence de Nico Ruff il y a quelques années en arrière, qui soulignait que la sécurité était un échec. Je plussoie, toutefois en précisant certains éléments de mon raisonnement :

Voici ce que j’ai remarqué du côté des vendeurs :

  • On veut protéger. Mais de qui, de quoi ? Personne n’est vraiment clair…en fait, personne ne sait vraiment ?
  • On vend boîtiers, appliances et logiciels à la pelle. On les empile mais personne n’a de vision globale, transverse.
  • On s’adapte aux tendances du moment, parce qu’il le faut bien. Réactivité, pas proactivité.
  • On oublie des domaines bien plus importants. La gestion des risques, les métriques et les processus sont les oubliés du Salon… A croire que ce n’est pas utile.
  • Certains sujets dérangent : La VDI par exemple, qu’aucun vendeur n’a mentionné. Parce que ce n’est pas important ? Voyons… !

Du côté des clients (conférenciers et RSSI), ce n’est pas beaucoup mieux :

  • On veut se protéger. Mais on ne sait toujours pas comment faire.
  • On n’y croit plus guère. Le défaitisme est présent chez beaucoup, y compris sur les conférences de grands acteurs (David Dewalt, conseiller technique à la SSI pour Obama, ancien CEO de McAfee et membre du board de nombreuses sociétés SSI ; Jean-Marie Bockel, auteur du rapport du même nom ; et Patrick Pailloux, directeur de l’ANSSI ont tous eu un discours plus pessimiste que rassurant). Même Microsoft n’avait pas l’air réjoui d’être sur le stand des Assises…
  • On dépense sans résoudre. La sécurité coûte cher et ne fonctionne pas bien. On pourrait se dire que sans sécurité ce serait encore pire, mais est-ce le bon raisonnement ?
  • On impose sans convaincre. Les politiques sécurité et autres directives sont rarement suivies. Les plans de risques sont là pour rassurer les investisseurs et les directeurs, mais plus pour se donner une bonne conscience que pour résoudre les problèmes.

3. Conclusion et pensées

En gros, j’ai l’impression que beaucoup de personnes ont loupé le coche.

Les vendeurs continuent à vendre des boîtiers, des pare-feux et des antivirus. Comme autrefois, sauf que les temps changent et que ce n’est plus la bonne méthode. Certains nouveaux acteurs de la sécurité semblent avoir compris cela, mais ils sont rares et encore petits.

Les Directeurs informatiques, et plus encore les RSSI seront-ils encore nécessaires dans quelques années ? Tout part dans le Cloud, lequel est conçu et sécurisé par les meilleurs des meilleurs (Oui, osons le dire, Google, Apple et les autres grands savent offrir des ponts d’or pour attirer les talents). Tout se consulte à partir de terminaux mobiles non gérés par les directions informatiques, et appartenant aux usagers. Ou plus précisément pour lesquels les usagers ont obtenu un droit d’usage limité de la part des mêmes, Google et Apple, lors de l’achat. La boucle est bouclée, le SI est détenu et maîtrisé par ces grands acteurs américains. Pas étonnant d’ailleurs que ceux-ci soient moins présents sur les salons DSI et RSSI, préférant aller directement voir les directions générales, métier et financières avec le message suivant : « Mettez vos données dans le Cloud, c’est moins cher, plus efficace et plus simple, et en plus vous pouvez virer votre DSI, puisqu’on se charge de tout ». Point final. Logique. Normal retour des choses, où la parole est au consommateur.

Les experts en sécurité continuent à crier au loup. Des failles par milliers, des problèmes par millions, des attaquants partout. OK, c’est vrai. Mais cela va t-il pour autant arrêter le business ? On autorise bien les voitures à circuler « malgré » les milliers de morts par an… et tant pis pour eux, puisque les autres peuvent continuer à rouler. Le discours alarmiste des experts sécurité (et des vendeurs) commence sérieusement à irriter tout le monde. Et puisqu’il y a des blocages dans le système, allons-y gaiement en les contournant. Le syndrome Dropbox et iPad est tout naturel : prendre quelque chose qui marche et est simple, plutôt que de se voir imposer des contraintes motivées par d’obscures raisons. On a trop bien tendu le bâton pour se faire battre…

Mais finalement, de qui a t-on peur ? On parle ouvertement des Anonymous, des Chinois. On parle dans les couloirs des Américains eux-mêmes et de leur Big-Data devenu Big-Brother. Mais que peut-on faire, réellement ? Ne plus acheter d’iPad ? Irréaliste. Surréaliste, même et gardons les pieds sur Terre au lieu de jouer aux Shadoks. Nos données partent dans le Cloud. Nos données partent aux USA, dans un contexte où le David européen n’a pas su se donner les moyens de contrer la stratégie du Goliath étatsunien. Nos données partent, mais elles sont stockées de manière sécurisée et fiable, nous dit-on, par les meilleurs spécialistes. Si problème il y a, résolvons-le par des accords diplomatiques et juridiques, pas par des pseudo-solutions court-termistes et peu applicables. Nos données sont menacées par les Anonymous ? Jean-Christophe Ruffin, qui nous a fait un magnifique rappel durant la plénière des Assises, nous a rappelé que ces mouvements ne sont pas sans lui rappeler ses débuts à MSF ou Action pour la Faim, où finalement le Citoyen tente de remettre l’église au centre du village en protestant à sa façon et en organisant ce qui lui semble bon, puisque l’Etat ne le fait pas. Allons dans le sens du citoyen et de l’usager, cela devrait aider ! Et du coup, les pièces du puzzle semblent s’assembler d’elles-mêmes.

4. J’ai été long, je récapitule… sans capituler !

Ces Assises ont été pour moi un excellent moyen de réseauter, un bon moyen de voir que les vendeurs avaient des choses à proposer mais manquaient de recul face aux changements à mener, et que les RSSI étaient dans l’ensemble désemparés par l’absence de solution globale et cohérente.

Je ne prétends pas avoir des solutions miracles, mais j’ai des idées, beaucoup même, qui permettraient d’avancer convenablement.

– Tout d’abord, en tant que RSSI, arrêter de dire « non », au risque de décevoir l’ANSSI et consorts. Dire « Oui mais », c’est mieux ! En prenant le temps et les moyens nécessaires pour convaincre. Pas pour expliquer mais bel et bien pour entraîner un changement des mentalités, des comportements. Rappelons-nous de ma conférence il y a quelques années : « Dépérimétrisons et réjouissons-nous« .

Il y a des problèmes ? Nous (RSSI) avons des solutions ! Pas techniques. Surtout pas ! Parler, expliquer, justifier. Mais également légiférer. Je fais de plus en plus de juridique dans mon métier, est-ce un signe ?

Pour les vendeurs, se placer un cran au-dessus. Ce n’est pas en vantant les mérites d’un antivirus ou d’un pare-feu que l’on avancera… Parfois cela me rappelle les salons d’armes, où les munitions, chars et autres fusils sont vantés, vendus. On est dans l’opérationnel, pas dans la stratégie. Même pas dans la tactique. Le chef des armées a besoin de gagner la bataille et de se protéger, mais se fiche éperdument du modèle de la dernière munition qui sera utilisée. On est dans la même situation. Un peu de stratégie ferait du bien. Un peu de stratégie lucide, placée face aux préoccupations stratégiques des métiers et des dirigeants, c’est à dire dans le sens de la productivité, de la compétitivité et du service aux usagers, pas de pseudo-stratégie nombriliste du RSSI.

Certains de mes lecteurs souligneront, à juste titre, que je n’applique pas tout ce que j’expose ici dans mon activité quotidienne. Je m’en désole, et aimerai pouvoir le faire mais cela nécessite une maturité que nous n’avons pas encore atteinte. Tout comme tant d’autres. La sécurité sera une réussite lorsque l’on n’en parlera plus. Lorsque ce sera intégré dans les comportements, dans les processus, dans les outils et dans les méthodes. Il y a encore du pain sur la planche.

Bonne semaine.

16 Comments »

Bruno Kerouanton on octobre 8th 2012 in Conferences - Speakings, IT Security

16 Responses to “Assises 2012 : La sécurité est-elle un échec ?”

  1. Zenworks responded on 08 oct 2012 at 14:19 #

    Un peu provoque « Les Directeurs informatiques, et plus encore les RSSI seront-ils encore nécessaires dans quelques années ? », mais juste « prendre quelque chose qui marche et est simple, plutôt que de se voir imposer des contraintes motivées par d’obscures raisons », « Je fais de plus en plus de juridique dans mon métier, est-ce un signe ».
    A la lecture de votre résumé les Assises 2012 sont du même cru que les Assises 2011. Maintenant à nous [RSSI/DSI] de faire bouger les choses en commençant par changer notre discours, de mettre l’utilisateur au cœur de la stratégie « sécurité » et en demandant aux éditeurs de changer radicalement leurs approches.
    Merci pour ce résumé, en espérant qu’il soit différent pour les Assises 2013.

  2. Bruno Kerouanton responded on 08 oct 2012 at 15:58 #

    J’ai bien précisé en introduction que mon approche directe était destinée à faire réagir !

    – Vers la fin des DSI et des RSSI ? Pas pour tout de suite, mais c’est toutefois un élément qui fait partie intégrante des grands du Cloud/Byod. En totalité pour les PMI/PME qui n’ont pas les moyens de s’en payer, et que ça arrange donc fort bien. Et partiellement pour les grandes entités et les organismes d’Etat, qui ont trop d’applications métier différentes pour se passer totalement du couple DSI/RSSI. Mais disons que le Cloud et le Byod sont tout de même apparentés à un transfert d’exploitation, tant pour les admins système que pour le helpdesk. Le périmètre opérationnel du DSI se réduit en conséquence. A lui redéfinir sa mission et son cadre pour ne pas avoir à se lamenter lorsque tout lui « aura été retiré » des mains. Idem pour le RSSI qui est dans une situation embarrassante, car il ne lui est désormais guère envisageable de lancer des audits de sécurité chez les Apple et autre Google, ou de demander à ces derniers de corriger leurs systèmes en cas de problème.

    – En tout cas vous avez rejoint ma pensée. Oui, le discours doit changer, et la manière de penser SI et SSI doit évoluer également pour se replacer au coeur des besoins utilisateur. On verra si cela a évolué lors des Assises 2013 bien entendu, mais également avant avec les autres conférences sécurité qui se déroulent dans le monde. Quoi qu’il en soit, en parlant aux différents éditeurs présents sur le salon, j’ai souvent eu l’impression de parler à un mur : ils vendent un produit, pas une solution.

  3. julien tayon responded on 08 oct 2012 at 16:33 #

    Ça fait longtemps que les RSSI ont échoué.

    Le trouage de mur de feu commence à devenir un argument de vente des websockets.

    Comment on en est arrivé là? Par des règles de sécurisation empêchant de faire le métier.

    Contraintes x fonctionnalités = constante

    (il y a un optimum entre fonction et sécu, et les opés ont pas été en position de dire non à la sécu ni l’inverse)

    La sécu vendu comme produits (fw et al) vs la sécu comme démarche.

    La sécu n’est pas une connaissance optionnelle en dev, ni monolithique, c’est une démarche d’analyse cout risque, qui ne cadre pas avec la volonté d’avoir des OS du code (les monkey codeurs) ou le cargo cult engineering (buzz driven development, et banana framework). Il faut tous revoir comment on bosse, recrute, et collaborons.

    Je crois qu’il faudrait voir la sécu non comme une fonction à part à temps plein, mais comme une fonction incluses, un peu comme les pompiers sur un navire qui sont aussi des fonctionnels dans leur domaines.

    Un opé taquin mais responsable qui se retrouve régulièrement à trouer les murs de feu à coup de tunnels divers et variés pour permettre à ces collègues de juste pouvoir faire leur métier.

  4. newsoft responded on 08 oct 2012 at 16:38 #

    Je n’étais pas aux Assises, mais comment ne pas être d’accord avec ton compte-rendu ? :)

  5. Assises de la sécurité – Jour 3 « Criminalités numériques responded on 09 oct 2012 at 0:04 #

    […] Sur le blog de Bruno Kerouanton (@kerouanton) Évaluez ceci :Partager:ShareTwitterFacebookPrintEmailLinkedInJ'aime ceci:J'aimeSoyez le premier à aimer ceci. […]

  6. ITI responded on 09 oct 2012 at 13:51 #

    Cloud ? tiens tiens tiens ……
    Personne là-bas n’a évoqué la faille du Patriot Act et des données personnelles aux mains américaines, et son basence de contre-mesure légale comme abordé par O.Iteanu lors d’un CNIS Event récent?
    Ni la ré-internalisation (avec controle de cohérence et d’intégrité) des données si on veut quitter le Cloud ?
    Ni l’effacement sécurisé et prouvé des données personnelles ou confidentielles ?

    Perso, ça me pique plus que le BYOD et les belles fiches Excel nationales……

  7. Eric DOMAGE responded on 11 oct 2012 at 17:06 #

    Je trouve que Bruno devrait être nommé « Commentateur de salubrité publique ».
    Il dit enfin ce que nous voyons tous sur le marché: un acharnement thérapeutique (plus de performances de filtrage/interception) sur un objet indéfinissable, mutant et élastique à souhait (les SI) qui est construit sur des bases friables et donc vulnérables. Mais qui ne peut se passer de flexibilité sous peine de gêner la compétitivité.
    Comme dans les télécoms qui ont été surprises par l’arrivée des  » Over the top players  » (Google et Facebook ont surpris tout le monde et boosté le business des réseaux qui se disait mourrant), j’attends l’avènenement d’un acteur de sécurité « over the top  » qui pourrait gérér et assumer le  » Secure By Design » et le « Security in foundation »…. En face du risque sismique, on renforce les fondations – ou on les assouplit pour suivre les ondes.
    En face du risque IT, tout aussi diffus, aléatoire, imprévisible, on continue de promettre des casques plus solides….mais qui ne protègent ni de la pluie, ni des microbes !
    Ce n’est pas le fait des Assises ou de quelques autre rencontre…c’est le fait d’un marché qui doit changer de braquet, d’époque, de génération…Bruno va nous agiter tout celà !!!!

  8. Bruno Kerouanton responded on 11 oct 2012 at 19:34 #

    Merci Eric pour ton commentaire. Oui, il faudra bien que cela change… Mais il faudra savoir tourner le volant au bon moment, lorsque le virage viendra, si on ne veut pas se retrouver sur le bas-côté de la route…

  9. Bruno Kerouanton responded on 11 oct 2012 at 19:35 #

    Ce n’est pas faux, ITI… La réinternalisation est un point très important… Tout le monde veut du Cloud, mais personne ne pense à comment en sortir…

    Finalement ça rejoint ce que je dis dans mon article : vision court-termiste, alors qu’un peu de long terme ferait du bien à tous…

  10. S. responded on 16 oct 2012 at 10:19 #

    Bruno,

    Tout comme @news0ft, je n’etais pas aux assises, faut bien que des gens travaillent pendant que d’autres boivent ;)). En meme temps, je pense pas qu’on m’aurait invité….Bref…..

    100% d’accord avec ton approche, les vendeurs de boites ajoutées a droite et a gauche n’ont rien résolu, ne résoudront rien si ce n’est peut etre ton problème de dépense de budget ?

    Sur l’ANSSI

    Elle communique de son coté, mais c’est tout…Dans les faits, elle fait pas avancer le schmillblick….sauf peut etre au niveau de certains ministères ?
    J’attends avec impatience la certification (a la mode CISSP) de l’ANSSI pour obliger les prestataires d’audit a l’avoir :)

  11. Bruno Kerouanton responded on 16 oct 2012 at 10:36 #

    > « faut bien que des gens travaillent pendant que d’autres boivent »

    Tu te la joues à la Hervé, là.

    Pus sérieusement, le problème est complexe, je n’en doute pas. J’ai déjà reçu un certain nombre de commentaires « privés » de la part de collègues mais également d’éditeurs, qui… partagent mon point de vue ! Bref, tout le monde semble d’accord… Mais alors pourquoi rien ne semble changer ?

    J’ai ma petite idée là-dessus, il faudra que je développe un de ces jours.

  12. ylo responded on 17 oct 2012 at 13:22 #

    C’est drôle mais j’aurais plutôt tendance à me ranger du côté de l’avis de l’ANSSI:

    -En l’état (impossibilité de partitionner proprement, via hyperviseur, le type d’appareils visé entre perso et boulot) le BYOD n’est vraiment pas raisonnable.
    -Le Cloud ne devrait être envisagé que si on maitrise son hébergement (ce qui résoud intrinsèquement le pb du retour en arrière évoqué en commentaires). Un Cloud interne.
    -Réseaux sociaux, si externes leur usage devrait se limiter à une spécialisation d’un département communication… et à la veille d’image… ce qui, à l’image de la nébuleuse, n’empêche pas de monter des réseaux sociaux internes à l’entreprise s’il y a un gain à le faire.
    -Big Data… Si on ne vit pas soit-même du business croissant de collecte/classification d’info blanche, on le subira sans aucun controle possible si on ne maitrise pas les points précédents.

    Il y a un moment ou il faut aussi savoir dire stop, par exemple quand le calcul bénéfice risque est impossible car le risque n’est intrinsèquement pas vraiment maitrisable.

    Et si l’attitude de dirigeants victimes de la mode pose problème, on sent quand même pointer en filigrane la possibilité de législations contraignantes.

  13. Bruno Kerouanton responded on 17 oct 2012 at 14:03 #

    @lyo,

    Je serai d’accord si le monde était idéal… Mais dans ce cas, il n’y aurait pas non plus de problèmes de sécurité…

    Je retrouve ce mode de raisonnement dans le monde de l’éducation-recherche, où beaucoup de bonnes idées existent mais sont malheureusement inapplicables dans le monde réel. Je ne sais pas si cela est dû à un manque de dialogue, mais il y a un décalage flagrant .

    De manière générale, et cela rejoint ce que je soutiens depuis plusieurs années, le fond du problème en sécurité est dû à une mauvaise communication entre *tous* les acteurs : RSSI, éditeurs de solutions, Direction, métiers et production, utilisateurs, auditeurs, régulateurs. C’est ce que je constate au quotidien, et moi-même suis en faute vis-à-vis de ma communication auprès des types de personnes susmentionnées.

    La faute à qui ? A tous, car nous ne sommes pas bons communicants. J’ai d’ailleurs pris l’initiative de me former en communication, et me rends compte que cela n’est pas aussi simple ! Ma propre communication doit être améliorée, mais faute de temps, faute d’opportunités, celle-ci ne (se) passe pas comme il fau(drai)t.

    On dit que la formation sécurité devrait être rendue obligatoire pour les utilisateurs… Je dis que la formation communication devrait être rendue obligatoire aux acteurs de la sécurité.

  14. GZH responded on 23 oct 2012 at 0:17 #

    Super article Bruno

    Par contre … pourquoi un manque de comm. ? peut-être parce que certains le veulent bien ? Les éditeurs vendent de plus en plus et ne connaissent pas la crise…

    on connaît tous le syndrôme du « on a un besoin sécu ? Ok on fait une RFP voir ce qu’on nous propose ! Youpi ya de nouveaux produits supercool je vais mfaire plaisir » etc.

    quel est leur intérêt à dialoguer différemment ? Ces sociétés ont des actionnaires et ces personnes (pas toutes mais en majorité) ne sont-elles pas intéressées par un ROI rapide et sans contraintes … surtout avec le contexte éco actuel?

    et si cela se passe comme ça, c’est que certains clients y trouvent leur compte également on dirait!

    Bref fin du mode négatif, je suis persuadé que l’on ne peut aller que de l’avant il faut juste comme tu le dis si bien, prendre du recul ;)

  15. S. responded on 25 oct 2012 at 0:18 #

    Salut,

    Bruno me dit qu’il faut reply en commentaire pour alimenter le débat ;)
    Je suis côté éditeur et j’étais aux assises 2012.

    Oui, le côté social networking est un gros plus de cet event.
    A mon sens, le choix du BYOD en thème global est stratégique avec leur nouveau salon sur la mobilité, car le BYOD/consum, les clients en parlent et en ont depuis 3 ans.
    Et techniquement, rien n’y répondra parfaitement. On y réfléchit presque plus par plaisir intellectuel, brainstormer que nous sommes.
    Sachant que l’AD propose nativement du mini Mobile Management, toutes autres solutions valent-elle vraiment l’investissement (au sens large) ?
    Pourquoi penser à faire du sandbox/chiffrement des Professional data sur du mobile alors que pour beaucoup, les entreprises ne chiffrement pas NI les laptop NI les clés usb. Et nous sommes beaucoup à laisser trainer des fichiers « sensisbles » sur les clés USB.
    Et si on s’obstine sur le « mobile protection », pensons d’abord au malware, le google play en regorge…

    La grosse erreur des « sponsors » a été de se caler sur le sujet des assises. Actuellement, y’a bien plus de buzz sur les « APT » et le « cloud ».

    « APT »
    – AV, Proxy, antispam, FW NG, IPS, çà ne verra rien car tout çà fonctionne sur de la signature
    – Un petit darkcomet crypté, appelé par un exploit récent dans un word, çà coute 5 $ sur les forums underground et çà marche dans 90 % des cas
    – Aujourd’hui : 100.000 hackers chinois. Demain : 1 millions.
    Cout d’une attaque ciblée (mais basique) : 200 $
    et çà fait beaucoup de dégat si on le veut :
    http://econflicts.blogspot.fr/2012/09/news-cyber-attaque-contre-saudi-aramco.html

    « CLOUD »
    En france, 80 % des grandes entreprises créée leur propre « cloud ».
    Grosso modo, ils font de la virtu avec du portail d’application, de l’orchestration et des SLA contractualisées. On passe de 3 semaines pour avoir un serveur sur un projet ERP à quelques heures, ils sont content les métiers.
    Les 20 % restant externalisent chez un prestataire en France avec service managé type IBM, SCC, Cap…
    Côté sécu, il y a des choses très intéressantes à raconter sur le sujet mais le principal besoin pour les équipes de prod, c’est la transparence d’administration.

    GZH :
    Pas complètement d’accord avec ce que tu dis.
    Beaucoup d’éditeur se sont écroulés rapidement, prenons le cas d’alcatel-lucent récemment.
    Idem côté Juniper, qui vire 10% de ses employés
    Websense a fait pareil en début d’année, Bluecoat aussi en 2011…
    En plus, beaucoup de marché deviennent plus mature (web, mail), concurrence plus forte et mature, prix en baisse, etc etc…
    Pour rester en place, il faut innover sans cesse.

    PS2 : Ce commentaire n’engage que moi, non pas la société pour laquelle je travaille ;)

  16. Dernières tendances de la cybersécurité (McAfee Security summit ) | Idpi responded on 22 nov 2012 at 23:24 #

    […] va continuer à grossir et se renforcer indéfiniment, jusqu’au jour ou… Bruno Keroutanon note avec justesse que « le défaitisme est présent partout », que l’on « dépense sans résoudre » et que […]

Trackback URI | Comments RSS

Laisser un commentaire