HSC
Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Resources > Techno-Watch >
Go to: HSC Trainings
Télécharger le catalogue des formations
Search:  
Version française
   Services   
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o ARJEL
o Training courses
o E-learning
   Conferences   
o Agenda
o Past events
o Tutorials
   Resources   
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
   Company   
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
 communication
 
 
o HSC Newsletter
o Bulletin juridique HSC
o Press review
o Press releases
o Publications
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|  
> Access to the content HTML Beginning of the report  
> Description Report of Jean-Philippe Bichard and Hervé Schauer about the "Assises de la sécurité" (october the 16, 17 and 18, Deauville)  
> Context & Dates Report made for our news monitoring service .
The difference between the report writing and publishing dates are generally due to corrections and proofreading by the different people who took part in the conference.
18 October 2003 - Report writing
20 October 2003 - Sending to the news monitoring service subscribers
24 October 2003 - Publication in Netcost & Security Hebdo - n°162
19 January 2004 - Publication on HSC's web site  
> Author Jean-Philippe Bichard / Hervé Schauer (Herve.Schauer@hsc.fr) 
> Type  
> Abstract &
Table of content
La conférence d'ouverture
Les tables rondes
Les ateliers
La conférence de cloture  
> Related documents
> Copyright © 2004, Hervé Schauer Consultants, all rights reserved.

 


- Les Assises de la Sécurité ont réuni 450 personnes à Deauville le vendredi 17 Octobre 2003. Au programme : confiance et le FETC, les ateliers de France Telecom, Thales, Dimension Data, Sophos, Cisco …. table ronde sur la mobilité, séance d'ouverture et de clôture.


La conférence d'ouverture

Suite à une rapide introduction d'accueil le jeudi matin par Gérard Rio (DG consultants), Jean-Philippe Bichard (Netcost & Security) a animé une table ronde en séance plénière sur le thème de la confiance suite aux interventions de Jean Saphores, président de la FNTC (Fédération Nationale des Tiers de Confiance) et Jean-Séverin Lair, responsable des services aux usagers à l'ADAE (Agence pour le développement de l'administration électronique)

 A l'occasion de la table ronde, la FNTC  a annoncé la création de labels, en débutant par un label attribué aux services proposés par les tiers archiveurs. L'obtention du label passe par un audit. Les audits sont effectués par des auditeurs indépendants sous le contrôle de la FNTC et selon des procédures strictes. Jean Saphores, a rappelé que les échanges sous forme électronique ne peuvent se développer sans un climat de confiance juridique fondé sur des actes non contestables. Selon lui il faut établir une correspondance des métiers traditionnels de la confiance : notaires, huissiers, experts-comptables… vers une version d'échanges dématérialisés de ces métiers.

Jean-Séverin Lair, responsable des services aux usagers à l'ADAE (Agence pour le développement de l'administration électronique) a exposé comment l'Etat va profiter du bond technologique de l'administration électronique auprès de l'usager pour «re-ingéniérer» son organisation informatique. Actuellement chaque entité a développé pour des raisons historiques son propre système. A titre d'exemple il rappelle qu'il y a des dizaines de manières de voir la même adresse dans les systèmes d'information des administrations. Jean-Séverin Lair a démontré la redondance entre les réalisations des collectivités locales qui refont toutes des cartes pour les usagers en repartant pratiquement à zéro. L'ADAE va construire l'inter-opérabilité dans le service public en s'appuyant sur une standardisation puis en définissant des formats d'échanges en XML. L'ADAE va développer la mutualisation des moyens et des services afin de développer la vision unique pour le citoyen en optimisant de manière pragmatique les coûts. Des exemples d'applications existent à l'image de la demande d'acte de naissance, "mon.service-public.fr", le compte électronique de l'usager, La carte de vie quotidienne… A la question posée par Jean-Philippe Bichard sur les éventuelles zones de redondance entre services gratuits développés par l'Etat et services proposés par des acteurs des tiers de confiance, Jean-Séverin Lair a rappelé qu'il était naturel que l'Etat offre des services dématérialisés gratuits comme il le fait actuellement dans un cadre plus traditionnel. Il a précisé le soutien de l'ADAE aux projets actuels de la Confiance et notamment les initiatives portant sur la labellisation des services de confiance.


Les tables rondes

Deux exemples d'utilisations de la signatures électronique ont étés présentés par Christophe Cloesen (opérateur d'assurance belge Portima, anciennement Assurnet) pour Portima, Thierry Berte, directeur informatique, Ordre des avocats à la cour de Paris et  Jean-Marc Riesling (Certeurope), fournisseur de E-Greffe. Portima est une initiative des assureurs belges en partenariat avec Nexus. Ils ont réalisé un service d'intermédiation de confiance entre les assureurs et les 3500 courtiers, concurrents entre eux. Près de 200 applications sont concernées. Le gain est évident: authentification des courtiers et signature des documents contractuels interopérables pour toute la profession. E-Greffe a expliqué Thiery Berte est un service pour 17000 avocats, soit un avocat sur deux en France, qui leur permet de communiquer avec les institutions, via une authentification et signature par un certificat sur clé USB.

La conférence plénière du matin se termine par la remise des trophées de la FETC en partenariat avec Rainbow pour distinguer les applications les plus innovantes en matière de confiance. Pour le secteur public le trophée est attribué à Arpège de Certinomis, gestion de l'état-civil, et pour le secteur privé le trophée est revenu à Opalex développé avec Certeurope pour les experts judiciaires.

La table ronde de la FETC a connu l'affluence, et a reposé les difficultés d'utilisation des infrastructures de clés dans un débat très actif. La société a besoin de dématérialiser les actes de la vie sociale, administrative et commerciale. L'outil juridique est la preuve, et en version électronique il faut la signature électronique, l'archivage, l'horodatage et la notarisation pour établir une chaîne de confiance dans le cycle de vie d'un document, de sa conception à sa destruction.


Pour montrer que les applications existent, les fournisseurs présents n'ont su que citer les mêmes références que dans toutes les conférences précédentes. Le problème est que ces utilisateurs refusent de témoigner publiquement, et en privé, le retour sur investissement n'est généralement pas encore au rendez-vous et les difficultés organisationnelles et d'interopérabilités subsistent, ce qui a généré beaucoup de questions : renouvellement des certificats, sérialisation des documents, resignature tous les 5 ans, horodatage quand le certificat a été révoqué, etc…


Les ateliers

Coté ateliers, Eric Wiatrowski (Sécurité France Télécom) a présenté les services de sécurité offerts par Transpac : infogérance de VPN, pare-feu, et anti-virus. FT utilise les produits qu'il qualifie de "leaders" avec un seul produit dans chaque gamme : Cisco pour les routeurs, Checkpoint/Nokia pour les pare-feu infogérés et Netscreen pour les siens, Trend Micro pour les anti-virus infogérés et Symantec en interne. L'intérêt d'un service infogéré est aussi d'être déchargé de l'application des correctifs de sécurité. France Telecom tente de s'étendre jusqu'à l'audit de sécurité, notamment au travers de ses 1500 partenaires. Les 150 premiers revendeurs des offres France Telecom se voient délivrer le label "partenaire expert". Philippe Landeau précise que le label est obtenu après avoir suivi un séminaire France Telecom, mais il correspond à un chiffre d'affaire réalisé. Le label n'a donc aucun rapport avec un niveau d'expertise.

Jean-Philippe Cantet (Thales) et Gérard Levicki (Dimension Data) ont obtenu le label expert et ont présenté les offres de leurs sociétés respectives.
 Thales propose un service de supervision de sécurité. Les journaux des équipements de sécurité et des sondes IDS sont renvoyés chez Thales avec le logiciel de gestion de journaux Netforensics. L'ingénieur de Thales «reparamétre» en temps-réel les pare-feu du clients après enquête.
Dimension Data est un intégrateur sud-africain présent dans 30 pays. En 2002, il a mis en oeuvre dans le monde 4500 pare-feu, 2376 VPN, 877 solutions d'authentification, 690 anti-virus, 498 IDS, 405 analyses de contenu, 224 filtrage URL, 214 relais de sécurité et 26 infrastructures à clé publique.


Dimension Data propose des services classiques d'infogérance de pare-feu et IDS de toutes marques, ils gèrent environ 1500 équipements dans le monde. Dimension Data vend également un service de tests de vulnérabilités donnant une certification par VISA, une gestion des accès distants et une supervision de la journalisation sans faire remonter les journaux chez Dimension Data. Les sites marchands utilisant le règlement par carte VISA seront tous invités à se faire certifier par le test de vulnérabilités et le questionnaire de Dimension Data. Enfin ils proposent une gestion des nomades, les pare-feu personnels des PC vont chercher leur politique de sécurité chez Dimension Data, qui gère également les authentifications des utilisateurs.


 Pascal Delprat de Cisco a dressé un panorama des solutions de nomadisme dans l'entreprise, en expliquant le fonctionnement de 802.1X, à la fois dans le cas des réseaux filaires et des réseaux sans fil. Cisco fait la promotion de IBNS : Identity Based Networking Services, en combinant 802.1X qui authentifie les utilisateurs et les VLAN, les commutateurs permettent de déployer des politiques de sécurité par individu, tout en étant capable d'accepter les équipements ne supportant pas 802.1X dans des VLAN où un tri statique par adresse MAC peut être effectué.


Michel Lanaspèze de chez Sophos, a rappelé des chiffres clés au cours d'un atelier très intéressant sur les évolutions des attaques au moyen de codes malicieux. Ainsi, les spams connaissent une évolution inquiétante une entreprise sur deux touchée dans le monde  et des technologies nouvelles. A l'origine, le spam était un message texte puis en plus du texte s'est ajouté un masque sur le contenu. En 2003, la majorité des spams ont un contenu masqué et font appel aux liens HTML. Cette évolution pose également le problème juridique suivant: aux Etats-Unis, certains employés portent plainte contre leur employeur en raison de spam «pornographique» reçu durant leurs heures de travail. Une nouvelle piste pour les juristes. Autre indicateur, Sophos se présente comme l'éditeur ayant le meilleur taux de faux faux positif. soit 1 sur 100 000. Ce qui signifie que sur 100 000 messages stoppés pour cause de contenu «spam» un seul sur 100 000 n'aurait pas dû etre arrêté.


La conférence de cloture

La conférence plénière de clôture animée par Jean Philippe Bichard de NetCost&Security était composée de deux tables rondes et d'un entretien avec Jacques Beer-Gabel, ancien DSI de la Société Générale, Rhone Poulenc, ancien conseiller du Président de la CNIL, ancien vice-président du CIGREF et aujourd'hui consultant.

La première table ronde a traité du coût de la sécurité et de la gestion des risques, sujet choisi par les participants qui s'étaient prononcés par un vote à leur inscription parmi douze autres sujets. Selon Yves Maquet (Consultant) et Patrick Langrand (RSSI Natexis) «Etant donné l'historique de ce sondage, on ne peut évidemment pas lui donner une réelle valeur statistique. Mais c'est sans doute une indication de tendance. On remarquera que, dans les 10 questions, 6 relèvent surtout du management et 4 des aspects opérationnels. C'était le choix initial du comité du cercle européen de la Sécurité, mais il est confirmé par le pourcentage des réponses: 70% management et 30% opérations. Notre conclusion est que les RSSI sont, en tout cas,  préoccupés par le potentiel «managérial» de leur fonction. Nous nous en réjouissons, parce que cela laisse prévoir que les professionnels de la sécurité accéderont bientôt aux responsabilités de la haute direction. Il y a encore quelques années, ce n'était même pas envisageable»

Cette table ronde doté d'un thème «surprise» a été suivie d'une seconde table ronde sur la Mobilité animée par Eric Domage (Réseaux et télécoms). Lors de celle-ci de grands utilisateurs ont montré une évolution vers l'acceptation par les services sécurité de grands organismes de la mobilité et des réseaux sans-fil (lire le point de vue de Hervé Schauer ci-dessous).

 Enfin, Jacques Beer-Gabel a conclu la conférence en rappelant qu'il y a 500 Millions de mobiles et 500 Millions d'internautes sur la planète, et qu'au cours de sa carrière l'informatique était passée d'une informatique de technologie à une informatique de business. Il en va de m^me en 2003 pour les problématiques sécuritaires. Selon lui, il n'y a que deux choses qui comptent dans une entreprise : est-ce que vous rapportez de l'argent ? Est-ce que vous évitez de perdre de l'argent ? C'est valable aussi pour les RSSI en tant que Risk Mananger. Il a également rappelé que toute compagnie qui occupe un monopole génère des risques, en précisant que ce n'était pas une attaque particulière contre Microsoft.

Jean-Philippe Bichard / Hervé Schauer

Last modified on 19 January 2004 at 16:05:34 CET - webmaster@hsc.fr
Mentions légales - Information on this server - © 1989-2013 Hervé Schauer Consultants