|
 Consumérisation de l’IT, transformation du rôle des DSI, adoption du Cloud Computing... Graeme Nash, directeur des stratégies solutions chez Fortinet, fait le point sur quelques-uns des défis de la sécurité informatique.
LeMagIT : Les analyses se multiplient sur la consumérisation de l’IT. Mais la constatez-vous, chez vos clients ?
Graeme Nash: Le phénomène est clairement marqué, en France comme ailleurs. Les smartphones, les iPad sont très répandus. Je vous cite un exemple. Lors d’un récent forum sur la sécurité, sur les APT, notamment, avec le gouvernement de la Malaisie, une question est régulièrement revenue : «mon Pdg veut utiliser son iPad dans l’entreprise, que fait-il ?» En France, c’est exactement le même problème. Dès qu’un nouveau produit tel que l’iPad est disponible - ou une tablette Android - la problématique est de nouveau poussée.
LeMagIT : Toujours à lire les études sur le sujet, les DSI donnent l’impression d’être quelque peu démunis, pris de vitesse par le phénomène...
G.N : Ils sont responsables de la gestion des parcs technologiques, donc cela relève de leurs responsabilités. Mais il y a aussi l’accès distant au système d’information. Toutefois, aujourd’hui, la problématique est élargie : il faut prendre le phénomène en compte au sein des processus relatifs à la gestion des risques. Et c’est toute la difficulté : le rôle de la DSI est élargi. Plusieurs facteurs nous mènent à cela. Ce n’est pas à proprement parler nouveau, mais cela participe à l’évolution du rôle des DSI.
LeMagIT : Cela dit, lorsque l’on suit l’actualité des menaces informatiques, et notamment celle du premier semestre, très marquée par les attaques par phishing ciblé, le risque induit par la consumérisation paraît quelque sur-évalué...
G.N : Le spear phishing n’est qu’un vecteur d’attaque. Mais non, le problème de la consumérisation n’est pas surjoué. Les DSI doivent prendre en compte que le périmètre qui les concerne est élargi. Certes, il y a des exploits probablement surmédiatisés. Mais la menace des APT n'est pas exagérée; et il faut une réponse qui soit à la fois orientée technologie, métiers, et formation. Ce qu’il est important de considérer, c’est l’évolution et la diversification des plateformes.
Et la question de l’hétérogénéité n’est pas prête d’être close. Il y a toujours eu deux approches philosophiques différentes : soit on opte pour un environnement complètement homogène et l’on prend le risque d’exposer toute son infrastructure à un éventuel exploit, soit l’on mise sur un parc hétérogène et l’on peut minimiser l’impact d’un éventuel exploit. Ou du moins le périmètre concerné. Et, objectivement, il y aura toujours de nouvelles technologies à prendre en compte pour permettre à l’entreprise de les exploiter. Mais il faut calculer le risque au niveau de l’activité - risque légal, risque financier, continuité... - autant qu’au niveau technologique.
LeMagIT : Reste que cette consumérisation survient alors même que l’IT est poussée à se transformer, notamment sous la pression des utilisateurs et de la montée du Cloud Computing...
G.N : Oui, absolument. Et cela ne fait que complexifier la tâche des DSI. Dans ce cadre, la sécurité doit être abordée en changeant de perspective : il ne faut plus penser, à plat, à sécuriser un périmètre et des actifs IT; il faut intégrer la sécurité dans une perspective orientée service.
Il y a pour cela ITIL, qui a notamment pour but de bien définir ce qu’est un service (vu de son consommateur, etc.). En s’appuyant là-dessus, du point de vue de la sécurité, il faut avoir une approche à travers les différentes couches de technologie impliquées. Par exemple, pour un service Web : il faut penser à la sécurité de la base de données, du réseau et du serveur applicatif. Cela implique d’intégrer toutes ces couches dans le calcul de risque. Et ce n’est pas simple : cela induit de faire cohabiter UTM, pare-feu applicatif (WAF), IPS, sécurisation des bases et de leurs données... et de faire en sorte de créer une représentation du risque et la réponse associée. En somme, on peut avoir une notion de qualité de service - plus ou moins définie par ITIL - et lui associer une notion de qualité de sécurité. C’est un sujet qui fait actuellement l’objet de nombreuses discussions, notamment en raison du développement du Cloud.
LeMagIT : Justement, le Cloud, et en particulier les offres SaaS, ont parfois l’air de boîtes noires.
G.N : Effectivement. Disposer des accès nécessaires, chez les fournisseurs de service pour audit, par exemple, c’est un peu difficile. Et si cela ne pose pas de problème technique, cela peut poser des problèmes légaux. C’est pour cela que la gestion de l’utilisation des services Cloud est quelque chose de très important.
La plupart des entreprises sont soumises à des règles de conformité. Et dans la plupart des réglementations, on retrouve la notion d’audit. Avant d’aller vers des services Cloud, l’entreprise doit faire une étude sur les parties de son SI qui sont concernées par les obligations réglementaires d’audit. Et si la conformité réglementaire ne peut pas être obtenue dans le Cloud, il est impossible d’y aller. C’est clairement un grand frein au développement du Cloud.
Toutefois, la Cloud Security Alliance est en train de bâtir des recommandations pour essayer de répondre à cette problématique. Mais la question des audits de conformité constitue l’une des briques les plus difficiles à aborder.
Egalement sur LeMagIT :
HP va payer à Leo Apotheker son billet retour vers la France...
Navigateurs : Chrome bientôt devant Firefox sur le marché mondial ? |
D’ici à 2014, HP prévoit de se séparer de 8% de son effectif, soit 27.000 collaborateurs. Ses résultats trimestriels ne sont pas bons avec un recul de 3% du chiffre d’affaires et de 28% des bénéfices. 
SAP a annoncé mardi soir le rachat de l’éditeur de solutions d’e-commerce BtoB en mode cloud Ariba au prix de 45 dollars l'action, ce qui valorise la société à 4,3 milliards de dollars. 
Selon Gfk, les ventes de biens d’équipement de la maison – qui intègrent le marché micro-informatique BtoB - ont baissé au premier trimestre. Et ce malgré la hausse constatée dans les télécoms et les tablettes.
Les revenus du constructeur ont reculé de 4% à 14,4 milliards de dollars, entraînés par la chute de 5% des ventes de produits et notamment la glissade des ventes aux particuliers (-12%).
Ayant reçu la bénédiction du gouvernement chinois, Google a finalisé le rachat de Motorola. Le directeur général du fabricant, Sanjay Jha, est remplacé par Dennis Woodside, un fidèle de Larry Page.
3 milliards de dollars dans le viseur. Après avoir publié des résultats meilleurs que prévu pour son premier trimestre, Salesforce a revu ses résultats 2013 à la hausse. Le groupe de Marc Benioff table
L’intégrateur spécialisé dans les technologies Microsoft marche dans les pas de son partenaire en inaugurant le 30 mai son propre centre des innovations. Un showroom qui donner une large place à la table tactile Surface.
Le constructeur d’équipements de communication d’entreprises vise la première place du marché. Il mise sur la vidéo, le cloud et le renouvellement de ses offres existantes (notamment PME) pour arriver à ses fins.