Sans être très fort en combinatoire on comprend vite qu’aucun parcours de RSSI sur les Assises de la Sécurité ne ressemblera à un autre tant le nombre d’ateliers proposés est varié et important. C'est donc le circuit d'un RSSI (à Monaco c’est bien le terme à employer !) que je vous livre.

Un navigateur virtualisé

Ma première conférence fût consacrée à la virtualisation au service de la sécurité des navigateurs Web : CommonIT (ndlr : voir notre article consacré à cette solution).

Après quelques slides pour positionner le produit, on se rend compte qu’il s’agit bien plus que d’un simple bac à sable, et que l’architecture séparée en trois composants (l’affichage sur le poste de travail de l’utilisateur, le moteur d’exécution des pages et la gestion des accès à Internet sur une appliance) offre une véritable sécurité structurelle.

Au-delà de cette segmentation, les outils d’administration de l’appliance offrent la possibilité de publier les applications en assurant une totale compatibilité avec les navigateurs, les machines Java et les plugs-in en tout genre, pour que l’application continue de s’exécuter dans l’environnement qui lui est nécessaire.

La mobilité, enfin, n’est pas en reste puisque tout poste de travail peut naviguer sur Internet en utilisant la protection offerte par commonIT et hébergée par l’entreprise.

Le virtual browser garantit ainsi une immunité du poste de travail tout en assurant la sécurité (les patches des navigateurs n’étant plus nécessaires sur le poste), la mobilité et la compatibilité avec les applications existantes.

Le réseau sera social

La table ronde consacrée aux réseaux sociaux a donné un panorama de cet environnement sur les aspects sociaux, techniques et juridiques.

Il ressort que les réseaux sociaux sont un moteur pour changer notre façon d’organiser l’entreprise en passant d’une structure pyramidale, avec des décisions hiérarchiques, à une structure en forme de « pancake » ou de « crêpe » avec des décisions latérales.

Le wiki, les blogs, les feed RSS, l’Instant Messaging et le SNS (Social Network System) améliorent certes l’interaction et la collaboration dans les fonctions métiers. Mais ils ne sont pas sans risques : sur les aspects sécurité de l'information, une excellente video d'Orange Business Services a déjà été largement commentée. Elle peut nous servir en entreprise pour sensibiliser sur le fait que la frontière entre vie privée et vie professionnelle doit être maintenue. Sans cela nous mettons en danger nos propres emplois.

Le modèle économique de ces réseaux sociaux est toutefois inédit car il pousse à révéler de l'information : « Donnez moi des informations personnelles (pour que je puisse faire de la publicité ciblée) et en échange je vous donne des outils gratuits ». Le problème est alors une absence totale de maîtrise de ce que l’on a donné. Nous sommes pris au piège, car nous avons une très grande difficulté à faire disparaître les données qui nous concernent. Voire simplement à en contrôler leur diffusion, puisque mêmes mes amis peuvent utiliser mes propres données pour les transmettre à des tiers (volontairement ou non…).

A noter que le « droit à l’oubli » n’est pas à ce jour respecté dans le web 2.0. Le Groupe 29 de l’Union Européenne s’est positionné pour que l’on puisse imposer des règles à la fois aux utilisateurs mais aussi aux fournisseurs.

Concernant l’accès aux outils du web 2.0 en entreprise, trois stratégies sont possibles :

• On laisse faire (mais l’employeur peut être responsable en tant que commettant s’il y a préjudice)
• On interdit (par un filtrage des accès et pour couvrir les risques inhérents). Il faudra toutefois prévenir les utilisateurs du SI et encadrer cela dans une charte.
• On met en place une politique d’utilisation des réseaux sociaux au profit de l’entreprise (on est ici plutôt dans le cas de figure d’un réseau social interne à la société).

En conclusion il y a urgence a mettre en place un apprentissage de l’utilisation de ces réseaux sociaux dans l'entreprise.

Le firewall évolue doucement

Le français EdenWall Technologies (ex-INL) présentait son firewall identifiant. Un concept se basant non plus sur les adresses IP, les protocoles ou les ports mais plutôt sur le contrôle de l’identité et des droits applicatifs conférés.

Ce type d’outil simplifie les tâches d’administration généralement chronophages et qui ne permettent pas de maîtriser la sécurité dans le temps. Quand viennent se rajouter des complications comme la gestion des sous-traitants, la délocalisation de sites ou encore les fusions acquisitions, on sent bien que la gestion par identité simplifie et sécurise les accès.

Par ailleurs, les traces des connexions et l’imputabilité des actions tout en respectant la vie privée est assurée par le produit. Finalement les règles et les droits sont attribués dans un langage qui colle aux processus et aux métiers de l’entreprise, et non pas dans un langage « technique ». Le témoignage client de l’éducation nationale a donné une bonne illustration de l’exposé fait par les fondateurs de la société.

La suite de la visite de notre RSSI : du DLP, de l'IDS, de la PKI Open Source, les Directives Nationales de Sécurité et la protection du Web 2.0, c'est ici !

Premier indice : notre RSSI mystère voit plus souvent le soleil que ses confrères basés à la Défense.