«Chaque employé constitue une brique dans
le bouclier contre les hackers», explique
Daniel Soriano, Sales Department Manag...
Daniel Soriano, Sales Department Manager
Consulting & Engineering Services chez Telindus
AVRIL 08 39
BUSINESS Trends∆
[ 10 ] Soluxions 66 - Mai2008
Les banquiers luxembourgeois s’estiment «bien
° La confiance? Un rapport di...
Soluxions 66 - Mai2008 [ 11 ]
protégés», voire «très bien protégés»
° Les technologies d’authentification forte
et de gest...
Pleins feux
sur la sécurité
Telindus a présenté les résultats de son étude sur l’état
de la sécurité de l’information au L...
Prochain SlideShare
Chargement dans…5
×

IT News2 0804 Jeu set et patch

9 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
9
Sur SlideShare
0
Issues des intégrations
0
Intégrations
0
Actions
Partages
0
Téléchargements
1
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

IT News2 0804 Jeu set et patch

  1. 1. «Chaque employé constitue une brique dans le bouclier contre les hackers», explique Daniel Soriano, Sales Department Manager, Consulting & Engineering Services chez Telindus. «Les entreprises veulent utiliser des solutions pour diminuer le risque posé par le facteur humain, explique Jean-Pierre Henderyckx, Department Manager, Network &SecuritySolutions,Consulting&Saleschez Telindus. Il faut agir en amont du réseau pour protéger correctement les outils et scanner le matériel avant de l’intégrer au système interne. Nous devons, progressivement, mettre ensemble les Unified Communica - tions et la sécurité.» TESTS ET DÉ TE C TIONS BOOST É S «Au niveau des applications, parfois, la fonctionnalité de l’application prime sur les contrôles sécurité implémentés, explique DanielSoriano.Denouvellestechniquesper- mettent aujourd’hui d’analyser entièrement, d’un point de vue sécurité, le code source de ces applications, afin de détecter les me- naces présentes.» Il est tout aussi probable de détecter des erreurs de programmation (bugs permettant un buffer overflow,…) que des menaces plus ou moins volontaires (chevaux de Troie, backdoors,…). «La revue de code sécurisé présente un bon complé- ment au test d’intrusion, explique Daniel Soriano. Elle peut être lancée alors que le développement n’est pas encore finalisé et mettre en évidence des éléments imper - ceptibles de l’extérieur.» La CSSF préconise quelessiteswebtransactionnelssoienttes - tés après chaque mise à jour majeure. «Par rapport à la norme IS O/IEC 27001:2005, le Luxembourg est un peu en retard par rap - port à d’autres pays, dit Daniel Soriano. À l’heure actuelle, une seule entreprise est certifiée ISO 27001… alors que plus de 200 entreprises ont décroché l’IS O 9000, qui date, il est vrai, de 1987.» PAT C HER « À LA VOL É E » Enfin, la multiplicité et la diversité des appli- cations présentes dans les environnements physiques et virtuels rendent difficile, voir impossible, l’application de la totalité des patchs sécurité proposés par les éditeurs. «Il existe des solutions innovantes IPP (Inline Patch Proxy) permettant de patcher les flux ‘à la volée’ et donc de pouvoir consolider les fenêtres de maintenance sur des cycles plus espacés», indique Jean-Pierre Henderyckx. Jeu, set et patch Après huit ans de tests d’intrusion et la mise en place de nombreuses infrastructures sécurité, Telindus constate que les entreprises luxembourgeoises sont généralement bien protégées contre les agressions externes. Jusqu’à présent, trop de budget sécurité a été consacré aux réseaux et aux systèmes, et trop peu pour enrayer les menaces dues au facteur humain. Se- lon Telindus, citant Gartner, 80 % des entreprises subiront des attaques au ni- veau applicatif en 2009. Les tests d’intrusion et d’ingénierie sociale menés par l’intégrateur vont dans le même sens : les risques sont moindres de voir les menaces entrer par le biais du réseau. Pour augmenter le niveau de sécurité de ses clients, Telindus place les priorités à deux niveaux : les individus et les applications. TEC HNICA L D EVELOPMENT MANAGER 38 AVRIL 08 LEGRANDDOSSIER Sécurité
  2. 2. Daniel Soriano, Sales Department Manager Consulting & Engineering Services chez Telindus AVRIL 08 39
  3. 3. BUSINESS Trends∆ [ 10 ] Soluxions 66 - Mai2008 Les banquiers luxembourgeois s’estiment «bien ° La confiance? Un rapport direct avec la taille de l’organisation Seulement 18% des petites banques s’estiment «très bien protégées». En revanche, 30% des grandes organisations estiment l’être. Le niveau de confiance serait donc proportionnel à la taille, exprimée par le nombre d’employés, indice en rapport avec l’importance des ressources qui peuvent être allouées à l’effort de sécurité. En revanche, le rapport s’inverse si l’on évalue l’importance des capitaux: plus importants sont ceux-ci, moins les banques s’estiment «très bien protégées»… ° Le budget alloué à la sécurité? Plutôt stable… La question du budget est cruciale pour implémenter de nouvelles technologies ou, plus simplement, garantir le niveau de conformité nécessaire. Dans la plupart des banques, la sécurité est encore et toujours considérée comme un centre de coût. 54% des institutions interrogées confirment que leur budget est stable; 41% évoquent une évolution. Aucun répondant, c’est heureux, n’a évoqué de réduction de budget. ° Information Security Officer, une fonction naturellement proche de l’IT 82% des banques ont nommé un Information Security Officer. Mais ce n’est là qu’une moyenne. En fait, tout dépend de l’importance de la banque, les plus grandes ayant été les plus nombreuses (90%) à officialiser cette responsabilité. Ceci noté, cette personne assure par ailleurs d’autres responsabilités. Principalement l’IT (43%), ensuite les risques opérationnels (19%) et la sécurité physique (19%). De toute évidence, le lien entre sécurité et IT est -et reste- fort. ° Business Continuity, les plus grandes font la différence! Une priorité, c’est évident. Mais des niveaux de tolérance relativement différents d’une banque à l’autre. Si l’on peut se risquer à établir une moyenne, le «downtime» est de moins de 4 heures (58%). Plus intéressant: l’étude a montré une corrélation forte avec le montant des capitaux: 19% des banques disposant de plus de 5.000 millions d’EUR annoncent un «downtime» s’exprimant en minutes. Par ailleurs, si 97% des banques ont un BCP (Business Continuity Plan), il apparaît que 15% des répondants ne disposent pas d’un BCP formalisé, testé et maintenu… Pour la première fois, via le «Benchmark 2007 of Information Security - Banks and insurances in Luxembourg», les banques et les compagnies d’assurance luxembourgeoises ont évoqué ouvertement leur politique en matière de sécurité. Bien que limitée à 51 institutions, l’initiative de Telindus Luxembourg mérite d’être saluée. Son rapport de 64 pages -réalisé en partenariat avec l’ABBL (Association des Banques et Banquiers de Luxembourg), l’ACA (Association des Compagnies d’Assurances), la CSSF (Commission de Surveillance du Secteur Financier) et le Ministère de l’Economie- est riche en informations, réflexions et tendances. Soluxions a épinglé une série d’informations relatives au secteur bancaire. «Benchmark 2007 of Information Security - Banks and insurances in Luxembourg» est une initiative de Telindus Luxembourg. Ont contribué à cette première édition: Olivier Antoine, Crédric Mauny, Renaud Dumas et Daniel Soriano. Si l’Information Security Officer assure d’autres responsabilités, quelles sont-elles? IT 43% Risques opérationnels 19% Risques physiques 19% Audit 14% Management 5% Autres 38% 0 10 20 30 40 50
  4. 4. Soluxions 66 - Mai2008 [ 11 ] protégés», voire «très bien protégés» ° Les technologies d’authentification forte et de gestion des identités en retrait Suprématie des firewalls (97%), programmes d’anti-virus (92%), outils d’encryption (82%) et autres IDS/IPS (71%). En revanche, moins d’intérêt pour l’authentification forte -biométrie, token, etc. Niveau de pénétration: 34%. Précisons ici que l’attentisme des banques sur le sujet de l’authentification forte n’est pas propre à la place luxembourgeoise… mais au secteur financier en général. Or, les attaques de «phishing» (tentative de vol d’informations personnelles) sont bien réelles! Retard, également, au niveau de la gestion des identités. Le SSO (Single Sign-On) recueille à peine 16%. La technologie, il est vrai, s’intègre le plus souvent à un projet de sécurité plus étendu, dans lequel elle ne constitue qu’un élément secondaire, voire un simple bonus. La veille technologique? Une question de ressources! Gestion, analyse, suivi… La prévention des risques est aussi un investissement intellectuel. Telindus parle à raison de «veille technologique». Il apparaît que 58% des banques affirment mener une démarche de veille technologique, mais pas systématiquement. L’écart entre les banques qui mènent une démarche systématique et celles qui ne le font pas est très net si l’on tient compte de la taille: 50% pour les plus grandes, 29% pour les moyennes et 18% pour les plus petites. Menez-vous une politique de veille technologique en matière de sécurité? n Ne sait pas/N’a pas répondu n Non n Non, mais la démarche est envisagée n Oui, mais pas systématiquement n Oui, systématiquement De 1 à 49 employés De 50 à 249 employés 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Plus de 250 employés De 1 à 49 employés De 50 à 249 employés Plus de 250 employés Firewalls » « « Anti-virus sur stations de travail ∆ » « Anti-virus sur portails de messagerie « » ∆ Outils d’encryption » ∆ « IDS/IPS » « « Anti-spyware/ Anti-malware » « » Authentification forte » « » Firewalls individuels » ∆ « SSO » » « Les choix technologiques sont fonction de la taille de la banque
  5. 5. Pleins feux sur la sécurité Telindus a présenté les résultats de son étude sur l’état de la sécurité de l’information au Luxembourg. Première étude sur la sécurité exclusivement dédiée au Grand-Duché de Luxembourg, ‘Benchmark 2007’ analyse l’état de la sécurité de l’information au sein de 51 banques et sociétés d’assurances. Lancée l’été dernier par Telindus PSF, l’étude s’adressait à plusieurs domaines de sécurité: physique, business continuity, conformité, standardisation, responsabilisation, etc. Avec cette première étude, Telindus PSF veut ainsi donner un angle local à la problématique de la sécurité et fournir des résultats utiles aux institutions publiques et aux responsables de la sécurité des systèmes d’information (RSSI). La société a également souhaité mettre l’accent sur la confidentialité des données. Ainsi, les réponses furent utilisées avec la confidentialité la plus complète, sans identifier directement ou indirectement les participants. Un élément important à prendre en compte alors que 80% des répondants de l’étude représentent le sec- teur bancaire, contre 20% pour les sociétés d’assurances, et que les RSSI doivent évaluer la sécurité de leurs systèmes… Lors de l’évaluation du degré de protection en termes de sécurité d’information, les RSSI ont répondu: très bonne (20%), bonne ou relativement bonne (75%) et mauvaise ou insuffisante (5%). En termes de budget alloué à la sécurité de l’information, 20% des répon- dants prédisent une augmentation majeure dans l’année à venir, 31% une augmentation, 41% que cela restera constant et 8% n’ont donné aucune réponse. Plus précisément, alors que les banques répondent en majo- rité (55%) que les investissements seront constants, les sociétés d’assurance y voient une augmentation très importante (38%) ou importante (46%). Seules 8% prédisent un investissement semblable à l’année précé- dente, ce qui induit une focalisation accrue pour ces sociétés. Enfin, 72% des répon- dants on un plan de business continuity en place et formalisé, tandis que 20% sont en cours, et 8% n’ont encore défini aucune stra- tégie en la matière. rÔlE(s) Du rssi De manière générale, les répondants esti- ment que le rôle du RSSI est bien défini et chapeaute même d’autres fonctions (32%). Cependant, 10% d’entre eux pensent que la responsabilisation du RSSI n’est pas assez claire tandis que 8% déclarent que cette problématique est en cours de résolu- tion. Le RSSI peut aussi prendre en charge d’autres fonctions, telles que l’IT, le risque opérationnel, la sécurité physique, l’audit et le management. En matière de risques, 15% des répondants estiment que le risk assess- ment est fait en fonction d’une méthodologie reconnue, tandis que dans 65% des cas, la méthode est inhouse. Dans 20% des cas, le risk assessment n’est soit pas encore défini, soit pas encore en projet. la CErtiFiCatioN, NoN prioritairE Telindus PSF a également comparé les systèmes d’information du secteur des ban- cassurances luxembourgeois aux standards internationaux ISO/IEC 27002 :2005. Selon l’étude de Telindus, 65% des répon- dants sont familiers avec ces standards, tandis qu’environ un tiers des personnes les connaissent peu ou pas du tout. Alors que 45% des sociétés sont en train d’implémen- ter les recommandations émises par ces standards, environ 55% ne comptent pas les développer, ou les ignorent. Enfin, seuls 10% des répondants vont suivre cette standardi- sation jusqu’à obtenir la certification. //// priorités pour l’aNNéE 2008 //// 1. Data confidentiality 2. a. Awareness-raising and training of the personnel b. Data backup c. Disaster recovery and business continuity plan 3. Information security policy 4. Network and remote access protection 5. Analysis of risks 6. Compliance with legal and regulatory aspects 7. a. Physical protection of equipment and data b. Rights, access and privilege control 8. Identification and classification of assets and definition of responsibilities 9. Information system monitoring, incident detection and response 10. Protection against viruses, malware, spyware and spam JUIN 08 73 BUSINESS DECISION MAKER ACTUAL-IT Sécurité

×