Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Christophe Elise (Journaliste)
Published on Friday 17 February 2006
0 comment(s) | Subnetwork France

Du 13 au 17 février s'est tenue à San Jose l'édition américaine de la convention annuelle de l'éditeur RSA Security. Rendez-vous désormais incontournable, cet événement permet de prendre le pouls du marché de la sécurité. Un secteur que les plus grands noms de l'informatique considèrent désormais comme un nouvel El Dorado. Signe des temps les allocutions d'ouverture de la RSA Conference 2006 ont été assuré entre autres par Bill Gates de Microsoft, Scott McNealy de Sun, John Chambers de Cisco et John Thompson de Symantec. Les participations du CEO de Verisign, Stratton Sclavos, et d'Art Coviello, CEO de RSA Security finiraient presque par paraître anecdotiques. Toutefois cette dernière marquait une étape dans l'histoire de RSA Security: le retour aux sources. Après avoir flirté longtemps avec le marché de l'Identity & Access Management (gestion des identités), émanation de l'ancien 3A (Authentification, Autorisation, Administration), RSA Security revient à ses premiers amours. Finis les discours sur les mérites de la gestion d'identités, l'allocation automatique des ressources à la suite d'un workflow adapté à l'entreprise, finie l'emphase sur la fédération d'identités. Sur ce dernier point Art Coviello ne cache pas son sentiment: "la fédération est une merveilleuse technologie, mais c'est pratiquement impossible à démocratiser car les clients résistent à tout déploiement !". L'éditeur dispose toujours avec RSA Federated Identity Manager d'une des premières solutions autonomes de fédération d'identités. Mais lors de la RSA Security l'accent a plus été mis sur le coeur de métier: l'authentification forte. Avec là encore un nouvel aveu de son CEO: "Nous avons essayé d'éliminer les mots de passe, nous avons laissé tomber, même s'ils restent la méthode d'authentification la moins sécurisée". Reconnaissant que le jeton n'est pas nécessairement la solution la plus adaptée à tous les utilisateurs, RSA Security contourne le problème. C'est le sens de l'acquisition en décembre dernier de Cyota pour 145 millions de dollars. Cette société a apporté au catalogue de l'éditeur des outils d'analyse des transactions pour lutter contre les fraudes, des produits anti phishing et une plate-forme de sécurisation des paiements. Ainsi lorsqu'une banque n'est pas prête à déployer des tokens pour les clients de ses services online, elle pourra toujours tirer partie des outils de l'ex-Cyota pour assurer les transactions. "Nous voulons que chaque banque puisse choisir son niveau de sécurité en rapport à sa propre estimation du risque" complète Art Coviello. En outre RSA Security a annoncé une série de partenariats dont l'objectif est de populariser l'usage de l'authentification à deux facteurs. Les terminaux BlackBerry, les téléphones Motorola, les PDAs et smartphones sous Windows Mobile 5.0, les clés USB et cartes de mémoires SanDisk embarqueront désormais la technologie One Time Password (OTP) de RSA Security. Ceci afin que tous ces équipements puissent devenir des jetons. En ligne de mire, c'est le juteux marché du consommateur qui est visé.Des solutions interopérables mais propriétaires L'autre tendance manifeste du salon est le NAC - Network Access Control, ou contrôle d'accès au réseau. Cette technologie dont Cisco est à l'initiative depuis 2003 avec NAC pour Network Admission Control, est adoptée par la majorité des acteurs du marché de la sécurité et des réseaux. RSA Securiity s'est le premier empressé d'annoncer l'intégration de sa solution d'authentification forte à NAP (Network Access Protection), l'offre de Microsoft. Laquelle sera disponible au sein de Vista et Longhorn. Microsoft partage avec Cisco le plus grand nombre de partenariats autour de leurs offres respectives, une cinquantaine chacun. La plupart se veut compatible avec les deux technologies. NAC et NAP sont d'ailleurs aussi annoncées comme interopérables par leurs géniteurs. John Chambers, CEO de Cisco, défend le Network Admission Control à la RSA Conference 2006, à San Jose. Photo (c) Christophe Dupont Elise. Toutefois, interopérabilité ne veut pas dire ouverture. En la matière seuls les travaux du Trusted Computing Group font foi. Ce consortium élabore des spécifications ouvertes au sein du groupe de travail Trusted Network Connect. Microsoft en est l'un des promoteurs, mais ses API NAP ne respectent toujours pas les spécifications du groupe de travail. Cisco lui n'est même pas pas membre. McAfee, TippingPoint (3Com), Extreme Networks ou Enterasys, tous offreurs de leur propre solution et/ou partenaires de Cisco ou Microsoft, ne sont pas plus intéressés par cette démarche de standards ouverts. Comme si la plupart des acteurs informatiques n'avaient toujours pas compris les besoins des clients, à l'opposé d'un enfermement dans des solutions propriétaires...