Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Aurélien Cabezon (SecurityVibes)
Published on Saturday 1 December 2007
0 comment(s) | Subnetwork France

C'est Philippe Courtot, CEO de Qualys Inc., sponsor de l'événement, qui ouvert cette édition Londonienne du Qualys CSO Interchange et introduit la journée. Il est suivi par un remarquable keynote de Mark Hughes a director group security chez B.T a intitulé « The view from the top : how to develop a cohesive security strategy for a global organisation » qui précède les différentes tables rondes proposées aux CSO.

La journée était articulée par 3 « keynotes » (présentations en téléchargement sur le site de l'événement) entre lesquels les participants échangeaient leurs expériences et idées autour de tables rondes thématiques animées par des experts. Ainsi, il était possible de prendre place autour d'une table dédiée à la sécurité du Web 2.0, d'évoquer le modèle SaaS dans le monde de la sécurité, de discuter de convergence, de standards PCI ou encore des « best practice » d'un plan de continuité d'activité... Coté « keynotes » Bob Tarzey a Service Director, QuoCirca a a évoqué les conséquences sécuritaires d'un « greener business » (Green I.T), et Paul Wood a Group Business Protection Director chez Aviva a a détaillé sa méthode pour développer un Framework de gestion de risque au sein d'une multinationale.

Le fil conducteur de la journée : un questionnaire interactif

A chaque présentation ou changement de table ronde précédait un questionnaire interactif dont les résultats anonymes sont rendu public par l'organisateur. Le panel d'une cinquantaine de CSO présents lors de cette journée rend les chiffres représentatifs et crédibles.

Ainsi, on apprend par exemple que :

• 47.5% des CSO anglais ont toujours du mal à démontrer la valeur (business value) de leur travail.
• 64% des interrogés attestent qu'il était pour eux plus facile de sécuriser leurs infrastructures il y a un an plutôt que aujourd'hui.
• Pour 94.3% des interrogés, le budget est le principal obstacle à la bonne réalisation de leur travail de CSO.
• 42.9% des CSO interrogés ont déjà déployé une solution de sécurité en mode SaaS (Software as a Service).
• Plus de 45% des CSO interrogés testent leurs procédures de plan de continuité d'activité (Business Continuity Plan) au moins une fois par an, 50% d'entre eux déroulent totalement les procédures au moins une fois par an pour évaluer la réactivité des équipées. 41% des interrogés ont des équipes dédiées aux plans de continuité d'activité.

Le gap entre la France et la Grande-Bretagne

D'un point de vue « franco-français », cet événement nous a permis d'observer l'avancée que la grande Bretagne possède sur la France en matière de gestion de la sécurité des systèmes d'information. Alors que dans l'hexagone bon nombre de RSSI n'ont d'autres choix que de se consacrer à la sécurisation des postes et serveurs, nos amis outre-manche abordent des concepts beaucoup plus « haut niveau » et ont appris à développer des méthodes et mettre en place des processus de gestion de risque à l'échelle d'entreprises d'envergure mondiales avec une totale abstraction des aspects techniques. Il est évident que la réglementation (regulation) et la mise en conformité (compliance) y sont pour beaucoup. La législation a très vite poussé les RSSI Anglo-Saxons à élever le débat de la sécurité, on commence à observer ce phénomène aujourd'hui en France...

La confidentialité des débats et échanges

La sécurité est un sujet sensible, Qualys a donc souhaité éviter toute fuite d'information à l'issue des tables rondes. La règle envers les journalistes qui couvraient l'événement (SC Magazine, Information Age & Vulnerabilite.com) était on ne peut plus stricte : il est interdit de divulguer l'identité des CSO participant à cet événement ni de rapporter quelque information permettant d'identifier leur organisation sans leur accord. C'est pourquoi nous ne pourrons malheureusement pas relayer le fond des discussions auxquelles nous avons participé pendant cette journée...

Si vous êtes RSSI n'hésitez pas à participer à cet événement dont le chapitre français se déroulera probablement au printemps 2008 !

Le site du Qualys CSO Interchange
http://www.csointerchange.org