Nov 25

9è Rencontres Economiques et Technologiques France-Israël : « la sécurité de l’information, en attendant Cybergeddon... »

Authors picture

Voir l’article de Brett Kline pour le Globes (English)

9è Rencontres Economiques et Technologiques France-Israël : « la sécurité de l’information, en attendant Cybergeddon… »

Novembre 2009 par Emmanuelle Lamandé

« Le moyen le plus rapide et le plus efficace d’améliorer sa productivité en matière de sécurité consiste à regarder autour de soi quelles sont les « best practices » en la matière » souligne Henri Cukierman, Président de la CCFI. L’an passé, les israéliens louaient la créativité, la technologie et l’esprit d’entreprise comme les meilleurs moyens de faire face à la crise. Aujourd’hui, ils annoncent une reprise économique. Cet exemple met en exergue l’importance de la collaboration entre les deux pays à la fois au niveau stratégique et technologique. Les Rencontres Economiques et Technologiques France-Israël contribuent à établir cette jonction. La 9ème édition sur le thème de « la sécurité de l’information : en attendant Cybergeddon » a réuni cette année encore près de 200 professionnels du monde de la sécurité autour de tables rondes, de rencontres d’affaires et d’une démonstration de hacking de banque virtuelle.


Henri Cukierman, Président de la CCFI

« Le contexte de l’Etat d’Israël reste complexe sur le plan politique », souligne Pierre Simon, Président de la CCIP, « cependant au niveau économique, la reprise est bien là ». La créativité, la technologie et l’esprit d’entreprise, soutenus l’an passé par l’état d’Israël, ont donc portés leurs fruits face à la crise. « Nous avons beaucoup à apprendre d’Israël en France, notamment dans certains domaines comme la recherche, l’innovation et les nouvelles technologies », constate Henri Cukierman, Président de la CCFI. « Comme dans bien d’autres domaines, le moyen le plus rapide et le plus efficace d’améliorer sa productivité en matière de sécurité consiste à regarder autour de soi quelles sont les « best practices » en la matière ».


Daniel Rouach, Professeur à l’ESCP-EAP

Comme chaque année, Daniel Rouach, Professeur à l’ESCP-EAP, a fait le point sur les relations économiques entre la France et Israël. Il observe en 2009 une amélioration de l’image de la France en Israël. L’inverse n’est pas vraiment de mise, puisque la France se retrouve dans une situation de « low boycott », dans laquelle elle remet le plus souvent « à plus tard » les décisions concernant Israël. Pour Daniel Rouach, les industriels français s’intéressent trop aux obstacles, tandis que leurs homologues israéliens se focalisent sur les solutions.

L’avenir de la France et Israël passe par l’Europe. Pour Israël, la France devient d’ailleurs un solide port d’attache en Europe. Toutefois, elle n’est pas considérée comme une priorité absolue, contrairement à l’Inde et la Chine. Pour les français, Israël ne représente pas non plus un marché vraiment stratégique. Cependant, la coopération scientifique reste forte entre les deux pays. D’ailleurs, pour lui, le futur de leurs relations repose principalement sur la collaboration et le transfert technologique. Et malgré des tendances plutôt stagnantes en 2009, Daniel Rouach reste optimiste, car « les liens qui se créent lorsque les entreprises entrent en contact sont de plus en plus solides ».


Dominique Bourra, CEO NanoJV

Les sociétés israéliennes sont d’ailleurs venues en nombre pour cette 9ème édition. « Record battu en 2009 avec plus de 40 inscrits israéliens fédérés autour du consortium de sécurité, le maagad » souligne Dominique Bourra, CEO NanoJV, organisateur des tables rondes et des rencontres d’affaires. Malgré la crise, l’incertitude et les coupes budgétaires, « jamais les défis de la sécurité n’ont été si élevés, les périls si nombreux ».


Pierre Lasbordes, Député de la 5ème circonscription de l’Essonne

Pierre Lasbordes, Député de la 5ème circonscription de l’Essonne, nous a rappelé les six recommandations de son rapport « Sécurité des systèmes d’information : un enjeu majeur » :
- Sensibiliser et former à la Sécurité des Systèmes d’informationsrn- Responsabiliser les acteursrn- Renforcer la politique de développement de technologies et de produits de SSI et définir une politique d’achat public en cohérencern- Rendre accessible la SSI à toutes les entreprisesrn- Accroître la mobilisation des moyens judiciairesrn- Assurer la sécurité de l’Etat et des infrastructures vitalesrnL’objectif de ces recommandations est double. Il s’agit de renforcer la posture stratégique de l’Etat en matière de TIC et de SSI et assurer la mise en œuvre opérationnelle des politiques et des décisions de l’Etat en matière de SSI.

Table ronde : Quelles stratégies face aux failles du Cloud Computing ? Animée par Stanislas de Maupéou, Chef de Projet Cyber-défenses chez Thalès.

Pour Stanislas de Maupéou, ce qui est réellement nouveau avec le cloud computing est que nous commençons à voir l’hébergement d’applications et d’informations critiques dans le « nuage ». Dans le cloud, le réseau Internet prend la place du réseau d’entreprise. Les enjeux se trouvent aujourd’hui à la fois dans la sécurité de la virtualisation, la gestion des identités, la disponibilité, ou encore la gestion des vulnérabilités. La problématique de la traçabilité des accès va devenir de plus en plus importante, ainsi que celle du transport de l’information ou de la sécurité de l’information sur le poste client.

Quels sont les nouveaux risques adressés par le cloud ? Pascal Lointier, Président du CLUSIF, souligne deux points de vigilance :
- Le « nuage » ne se trouve pas dans le ciel, mais bel et bien dans un Data Center. En 2009, on a pu voir, par exemple, aux USA un arrêt électrique de plusieurs jours dans un centre informatique. Le cloud computing se trouve physiquement sur des machines.
- Le problème de la disponibilité des ressources. Qu’il s’agisse d’infogérance, de virtualisation ou autre, il est important que l’entreprise ait une vision opérationnelle de la sécurité déployée. Le point de vigilance doit se porter sur les données sensibles et leur confidentialité. En outre, il ne faut pas omettre la responsabilité pénale de l’entreprise, même si le traitement de l’information a été délocalisé, conclut-il.

Pour Diane Mullenex, Avocat au Barreau de Paris et de Londres, le cloud computing est un sujet mouvant et complexe à traiter d’un point de vue juridique, notamment en raison de l’absence de frontières. Il n’est d’ailleurs, à ce jour, pas vraiment régulé.

Différents challenges se posent aujourd’hui en matière de sécurité : protéger et chiffrer les données stockées, procurer une connexion sécurisée aux utilisateurs, redonder les informations sensibles. Mais la grande question avec le cloud computing est de savoir où se trouvent ces données ?

La problématique du cloud computing se trouve au niveau des contrats, souligne-t-elle. Il s’agit de déterminer comment répartir les chaînes de responsabilité et les politiques de sécurisation ? Il existe aujourd’hui une véritable réflexion sur la sécurisation des données. Le chiffrement des données est un bon moyen de sécuriser ses données, mais comment chiffrer dans le « cloud » étant donné les divergences réglementaires qui persistent entre les différents pays ? Chacun dispose, en effet, d’une réglementation spécifique en matière chiffrement. Le débat technologique et juridique est aujourd’hui ouvert pour tenter de trouver une clé de chiffrement commune entre ces états.

La problématique de la protection de la vie privée et du droit à l’oubli reste-t-elle la même avec la cloud computing ? « Le cloud rend les choses encore plus complexes à ce sujet, car faudrait-il déjà savoir où se trouvent les données. Le cloud avance à grands pas et le droit court derrière. Des technologies comme celles-là vont nous obliger à courir encore plus vite » conclut Diane Mullenex.

Pour Guilad Parann-Nissany, co-fondateur de Gh.os.t, le cloud computing ne doit pas uniquement être perçu comme un nouveau vecteur d’attaque, mais aussi comme un modèle opérationnel qui procure un avantage économique. Des solutions de sécurité existent. Il vient d’ailleurs de créer Porticor, une nouvelle start-up qui propose des solutions de sécurité du cloud computing. La société Comda propose, quant à elle, des solutions de signatures numériques « on the cloud ». Cette société travaille pour le plan de e-gouvernement d’Israël « Distant Service ». « Aujourd’hui, les e-process remplacent la présence physique. La signature numérique est devenue une réalité, dans quasiment tous les domaines (santé, administration, …) souligne Zeev Shetach, CEO de Comda. Enfin, Yves Tenembaum, Finjan, nous a présenté ses solutions de sécurité : des passerelles de sécurité Internet comprenant un module d’analyse de trafic, la détection de codes malicieux et de ses objectifs.

Table ronde : gestion de crise, comment allier les meilleures pratiques françaises et israéliennes ? Animée par Isabelle Tisserand, Coordinatrice du Cercle Européen de la Sécurité et des Systèmes d’Information.

Pour Luc Alloin, PDG Securymind, le facteur humain est au cœur de toutes les problématiques de crise. L’humain apparaît soit en étant la cause, la victime ou encore par sa capacité à interpréter la crise et à prendre des décisions en conséquent. C’est pourquoi en amont d’un plan de gestion de crise, il faut y intégrer l’individu et prendre en compte la dimension culturelle des comportements humains. Les sciences humaines, sociales mais aussi les sciences de l’information participent à la compréhension et à la gestion de crise. Il souligne l’importance de l’évaluation de l’information et du renseignement en période de crise. Dans une cellule de management de crise, il faut, en outre, rechercher l’adaptabilité de chacun et l’intelligence collective.

Tout le monde ne peut pas faire de la gestion de crise, souligne Patrick Langrand, RSSI du Groupe La Poste, c’est pourquoi la sélection de ces personnes doit être rigoureuse. Une crise est un phénomène inattendu. L’un des facteurs déterminants dans la gestion de crise repose donc sur la capacité de projection et d’adaptation à la situation dans laquelle vous vous trouvez. Il distingue trois phases : avant, pendant et après la crise. Avant, il s’agit de mettre en place des dispositifs de veille (économique, technologique, environnementale,…) et d’anticipation. Ces dispositifs sont incontournables. Ils permettent également de traiter les signaux faibles. L’entreprise doit, en outre, se tenir informée des capacités d’innovation. Dans cette première phase, veille et innovation sont des facteurs clés. Pendant, il faut traiter la capacité de prise de décision des personnes qui doivent gérer la crise. Le dispositif doit également prévoir la déportation du commandement des opérations. Il faut, en effet, être transportable très rapidement. Dans cette deuxième phase, la partie IT s’avère fondamentale, notamment en ce qui concerne la communication et le reporting. Les SI ont leur importance dans les dispositifs de crise. Toutefois, dans les scénarios de crise, il ne faut pas omettre la possibilité d’une absence totale de communication (GSM, Smartphone, …). Vous devez prévoir l’inattendu. Enfin, après la crise, il est primordial de débriefer sur ce qui s’est passé. Que peut-on améliorer ? Quelles formations ? Quels moyens ? L’entreprise doit être capable de capitaliser, de structurer la connaissance et le retour d’expérience, de manière à pouvoir mieux anticiper les risques de demain.

Patrick Langrand conseille également le recours à des outils d’aide à la décision et de simulation. L’objectif est d’être capable d’imaginer l’inimaginable. Quoi que vous fassiez, ce qui va vous arrivez, c’est ce que vous n’attendez pas. Enfin, vous avez besoin de personnes qui permettront de structurer l’équipe de gestion de crise et d’établir la liaison avec le reste de l’entreprise.

Pour Doron Rotem, Directeur C4ISR, MLM/IAI, l’absence de langage commun représente une source importante de désordre dans l’anticipation et la gestion des menaces. Pour lui, le COP (Common Operational Picture) est un facteur clé dans la gestion de crise, sans compter la nécessite de préparation et de simulation. Enfin, il est important de savoir sur quels retours d’expériences l’entreprise peut s’appuyer pour déterminer sa stratégie future, conclut Gl. Relik Shafir, RS Consulting, Head of the Israeli Commission for Civil Aviation Safety.

Source : http://www.globalsecuritymag.fr/