SlideShare une entreprise Scribd logo

CF6it-solutions.lu

D
Daniel Soriano
1  sur  2
Télécharger pour lire hors ligne
Profil sécuritésuisse le couteauCF6, Branche spécialiste du conseil et du management de la sécurité au sein du groupe Telindus, CF6 Luxembourg a pour ambition de devenir beaucoup plus présent et d’offrir un centre local au Luxembourg en matière d’analyse d’incidents. Cette offre de « log-forensics » se peaufine, se couple avec la veille technologique, les tests d’intrusion, les audits… Un véritable couteau suisse de la sécurité informatique. 54 « On entend souvent parler des grosses attaques mondiales, mais il faut savoir que le Luxembourg est aussi vulnérable qu’un autre pays, affirme Daniel Soriano, Business Devlopment de CF6 Luxembourg. La place bancaire génère une activité qui vient de l’extérieur, importante. Certaines banques par exemple on subit un « effacement », c’est la face visible d’un iceberg, ce qui s’étant passé derrière restant dans l’ombre. CF6, pour Conseil Formation Système, et société d’origine française, a été créée en 1985, ce qui fait d’elle une des plus anciennes sociétés de conseils en matière de sécu- rité informatique.« On a commencé par donner du conseil sur les gros systèmes, explique Daniel Soriano, Business Devlopment chez CF6 Luxembourg. On s’est externalisé et déployé en Belgique en 95 et en 99 au Luxembourg. » D’abord installée au boulevard royal, CF6 s’est retrouvée à Esch-sur-Alzette dans le centre opérationnel de Telindus après l’acquisition de CF6 par l’intégrateur renommé. « Jusqu’en juin 2000, nous étions financièrement indépen- dant, et pour grandir nous avons souhaité nous rapprocher de quelqu’un de plus grand que nous. Cela n’a pas été un rapprochement, mais un rachat par le groupe Telindus. » La dizaine de personnes à Luxembourg, est essentiellement composée de consultants, les services commerciaux et administratifs étant repris sous la bannière rouge de Telindus. A 100% fille de Telindus, CF6 se veut néanmoins toujours indépendante dans l’esprit. La partie intégration étant le fer de lance de Telindus, les autres activités restent séparées : magasin, maintenance, et conseil sécurité. Une offre complète Telindus et CF6 couvrent tous les besoins de sécurité de ses clients. Du démarrage de projet, en termes de conseils, à l’installation, jusqu’au suivi, l’offre se montre complète. « Lorsque les sociétés se sont ouvertes à l’internet, on a évi- demment protégé ces accès par l’installation de firewalls, d’anti-virus, d’IDS,…, explique Daniel Soriano. Aujourd’hui, les grandes sociétés à Luxembourg en sont équipés. Par contre, elles voient arriver un nouveau problème : celui de l’organisation (avoir plus de recul pour déterminer les points faibles), et un très gros point noir qui est celui du manage- ment de ces architectures sécuritaires. » L’exemple concret : la société dispose bien d’un firewalls, mais on le laisse tour- ner, sans le patcher, sans suivre les incidents. Toutes ces entreprises se concentrent désormais sur la sécurité en fonction du business,car la sécurité peut devenir un gouffre sans fin. Il est donc important de déterminer jusqu’où on veut aller, contre quels risques veut-on se protéger. « Ces analyses de risques permettent de déterminer les attaques potentielles, leurs conséquences en perte financière, opéra- tionnelle, en image et réputation, aussi. Derrière, il faut voir contre quoi on veut se protéger et ça,ce n’est pas au niveau IT, que cela se joue. » SOCIÉTÉ > > >
55 SOCIÉTÉ De l’audit et du résultat CF6 propose également des audits des systèmes.Or dans ce monde où toutes les sociétés se positionnent dans ce cré- neau de l’audit, les approches peuvent être différentes. CF6 veut s’inscrire dans les normes qui permettent d’obtenir un résultat palpable pour ses clients. Les standards anglais BS7799,devenue ISO17799 (puis désormais sans le label ISO pour manque de fiabilité et en phase de résivion),sont en ce sens des gages de qualité de la mise en œuvre des procé- dures d’audits. « Même si elles portent le nom de best practices,pour nous cela ne reste que des good practices. Cela n’est pas plus pour nous qu’un cadre de travail,assure Daniel Soriano.Il y a des normes qui sont beaucoup plus pointues et qui per- mettent d’aller plus loin dans les analyses,ce sont par exem- ples les ISO13335 au niveau organisationnel et la 15408 qui permet de définir des profils de protection et de sécurité. Il faut aussi savoir qu’il y a des méthodologies propriétaires comme Melisa, Marion, Mehari,… Dès lors, il nous apparaît que pour délivrer un audit de qualité, il faut que les métho- des soient basées sur un système propriétaire reconnu ou sur des normes.Sinon,on pourrait oublier beaucoup de par- ties, ce que l’on ne peut pas se permettre aujourd’hui. » Intrusions éthiques La partie des tests intrusifs est encore relativement récente, étant âgée de trois ou quatre ans. Si l’audit annuel est inté- ressant, le test intrusif lui est très complémentaire et plus réactif. On peut les pratiquer tous les, trois, six mois. Moins lourd en terme de ressources internes pour les sociétés, le test intrusif checke les systèmes avec une approche de ethi- cal hacker. « Nous utilisons des outils commerciaux, comme les grands scanners d’ISS, des exploits, qui permettent d’ex- ploiter les vulnérabilités,et des outils internes à CF6.Pour ces derniers, nous avons huit personnes en R&D à Paris qui sont charger de réaliser des outils sur les dernières vulnérabilités. Mais rassurez-vous, il n’y a aucun hacker chez CF6. Nous ne pouvons travailler avec ces gens : on ne peut jamais savoir quelle serait sa réaction s’il tombe sur des informations confidentielles. Une société sérieuse aujourd’hui, ne peut utiliser des hackers. » Pour un test intrusif, la globalité est de mise : internet, téléphone,… « Et aujourd’hui encore, notre département R&D travaille sur les possibilités des attaques en wireless. On est en train de montrer une démo, pour expliquer que ces premiers réseaux wireless prenaient peu en compte les aspects de sécurité. » Sans compter les attaques internes, car aujourd’hui, il est vraiment aisé de déposer une bombe logique sur un serveur sans être un véritable génie technique… Parce que la sécurité informa- tique est plus qu’un simple enjeu commercial, c’est avant tout une stratégie multiple qui doit garantir la disponibilité du business. C’est ce que propose CF6… RHy Article paru dans it-solutions.lu de septembre 2002

Recommandé

Contexte organisationnel pour GDPR
Contexte organisationnel pour GDPRContexte organisationnel pour GDPR
Contexte organisationnel pour GDPRProf. Jacques Folon (Ph.D)
 
ASPECTS PRATIQUES DU GDPR ET DU DPO
ASPECTS PRATIQUES DU GDPR ET DU DPOASPECTS PRATIQUES DU GDPR ET DU DPO
ASPECTS PRATIQUES DU GDPR ET DU DPOProf. Jacques Folon (Ph.D)
 
Introduction au GDPR
Introduction au GDPRIntroduction au GDPR
Introduction au GDPRProf. Jacques Folon (Ph.D)
 
Eads louis gallois - denis gardin - yann barbaux - louis granboulan - relan...
Eads louis gallois - denis gardin - yann barbaux - louis granboulan - relan...Eads louis gallois - denis gardin - yann barbaux - louis granboulan - relan...
Eads louis gallois - denis gardin - yann barbaux - louis granboulan - relan...Gilles Sgro
 
Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Bee_Ware
 
Auris solutions-risque-si-2012
Auris solutions-risque-si-2012Auris solutions-risque-si-2012
Auris solutions-risque-si-2012Auris Solutions
 
Résistante - Pour Dirigeants
Résistante - Pour DirigeantsRésistante - Pour Dirigeants
Résistante - Pour DirigeantsRésistante Risk Solutions
 
Validy 171 signataires lettre au président, aux députés, aux sénateurs et à...
Validy 171 signataires lettre au président, aux députés, aux sénateurs et à...Validy 171 signataires lettre au président, aux députés, aux sénateurs et à...
Validy 171 signataires lettre au président, aux députés, aux sénateurs et à...Gilles Sgro
 

Recommandé

Contexte organisationnel pour GDPR
Contexte organisationnel pour GDPRContexte organisationnel pour GDPR
Contexte organisationnel pour GDPRProf. Jacques Folon (Ph.D)
 
ASPECTS PRATIQUES DU GDPR ET DU DPO
ASPECTS PRATIQUES DU GDPR ET DU DPOASPECTS PRATIQUES DU GDPR ET DU DPO
ASPECTS PRATIQUES DU GDPR ET DU DPOProf. Jacques Folon (Ph.D)
 
Introduction au GDPR
Introduction au GDPRIntroduction au GDPR
Introduction au GDPRProf. Jacques Folon (Ph.D)
 
Eads louis gallois - denis gardin - yann barbaux - louis granboulan - relan...
Eads louis gallois - denis gardin - yann barbaux - louis granboulan - relan...Eads louis gallois - denis gardin - yann barbaux - louis granboulan - relan...
Eads louis gallois - denis gardin - yann barbaux - louis granboulan - relan...Gilles Sgro
 
Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Clusif le role de l'organisation humaine dans la ssi 2013
Clusif le role de l'organisation humaine dans la ssi 2013Bee_Ware
 
Auris solutions-risque-si-2012
Auris solutions-risque-si-2012Auris solutions-risque-si-2012
Auris solutions-risque-si-2012Auris Solutions
 
Résistante - Pour Dirigeants
Résistante - Pour DirigeantsRésistante - Pour Dirigeants
Résistante - Pour DirigeantsRésistante Risk Solutions
 
Validy 171 signataires lettre au président, aux députés, aux sénateurs et à...
Validy 171 signataires lettre au président, aux députés, aux sénateurs et à...Validy 171 signataires lettre au président, aux députés, aux sénateurs et à...
Validy 171 signataires lettre au président, aux députés, aux sénateurs et à...Gilles Sgro
 
Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceMenaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceBee_Ware
 
Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Laetitia Berché
 
Campagne business security
Campagne business securityCampagne business security
Campagne business securityThomas Alostery
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchDaniel Soriano
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogITrust - Cybersecurity as a Service
 
Le BPM au service de la sécurité des SI
Le BPM au service de la sécurité des SI Le BPM au service de la sécurité des SI
Le BPM au service de la sécurité des SI Iterop
 
Communiqué de presse - Partenariat Crossing Skills & InteropSys
Communiqué de presse - Partenariat Crossing Skills & InteropSysCommuniqué de presse - Partenariat Crossing Skills & InteropSys
Communiqué de presse - Partenariat Crossing Skills & InteropSysCrossing Skills
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
LE DSI LIBERE #2
LE DSI LIBERE #2LE DSI LIBERE #2
LE DSI LIBERE #2AIR-LYNX
 
L'Intelligence economique au service des RH
L'Intelligence economique au service des RHL'Intelligence economique au service des RH
L'Intelligence economique au service des RHFranck Dasilva
 
Rapport de Post
Rapport de PostRapport de Post
Rapport de PostPaperjam_redaction
 
E book : nouveaux usages IT et nouveaux défis
E book : nouveaux usages IT et nouveaux défisE book : nouveaux usages IT et nouveaux défis
E book : nouveaux usages IT et nouveaux défisFrederic Simottel
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013Pierre SARROLA
 
Agir ou subir
Agir ou subirAgir ou subir
Agir ou subirConnected Futures
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...OpinionWay
 
Conférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMATConférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMATFranck Dasilva
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17ITrust - Cybersecurity as a Service
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirEY
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis
 

Contenu connexe

Similaire à CF6it-solutions.lu

Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceMenaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceBee_Ware
 
Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Laetitia Berché
 
Campagne business security
Campagne business securityCampagne business security
Campagne business securityThomas Alostery
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchDaniel Soriano
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogITrust - Cybersecurity as a Service
 
Le BPM au service de la sécurité des SI
Le BPM au service de la sécurité des SI Le BPM au service de la sécurité des SI
Le BPM au service de la sécurité des SI Iterop
 
Communiqué de presse - Partenariat Crossing Skills & InteropSys
Communiqué de presse - Partenariat Crossing Skills & InteropSysCommuniqué de presse - Partenariat Crossing Skills & InteropSys
Communiqué de presse - Partenariat Crossing Skills & InteropSysCrossing Skills
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...polenumerique33
 
LE DSI LIBERE #2
LE DSI LIBERE #2LE DSI LIBERE #2
LE DSI LIBERE #2AIR-LYNX
 
L'Intelligence economique au service des RH
L'Intelligence economique au service des RHL'Intelligence economique au service des RH
L'Intelligence economique au service des RHFranck Dasilva
 
E book : nouveaux usages IT et nouveaux défis
E book : nouveaux usages IT et nouveaux défisE book : nouveaux usages IT et nouveaux défis
E book : nouveaux usages IT et nouveaux défisFrederic Simottel
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013Pierre SARROLA
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...OpinionWay
 
Conférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMATConférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMATFranck Dasilva
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirEY
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis
 

Similaire à CF6it-solutions.lu (20)

Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceMenaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en france
 
Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016
 
Campagne business security
Campagne business securityCampagne business security
Campagne business security
 
IT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patchIT News2 0804 Jeu set et patch
IT News2 0804 Jeu set et patch
 
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlogReveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
Reveelium, solution innovante pour analyser les cyber menaces @ITrustBlog
 
Le BPM au service de la sécurité des SI
Le BPM au service de la sécurité des SI Le BPM au service de la sécurité des SI
Le BPM au service de la sécurité des SI
 
Communiqué de presse - Partenariat Crossing Skills & InteropSys
Communiqué de presse - Partenariat Crossing Skills & InteropSysCommuniqué de presse - Partenariat Crossing Skills & InteropSys
Communiqué de presse - Partenariat Crossing Skills & InteropSys
 
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
Synthèse étude "Entreprises et cybersécurité à l’horizon 2020" Futuribles Int...
 
LE DSI LIBERE #2
LE DSI LIBERE #2LE DSI LIBERE #2
LE DSI LIBERE #2
 
L'Intelligence economique au service des RH
L'Intelligence economique au service des RHL'Intelligence economique au service des RH
L'Intelligence economique au service des RH
 
Rapport de Post
Rapport de PostRapport de Post
Rapport de Post
 
E book : nouveaux usages IT et nouveaux défis
E book : nouveaux usages IT et nouveaux défisE book : nouveaux usages IT et nouveaux défis
E book : nouveaux usages IT et nouveaux défis
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
 
Agir ou subir
Agir ou subirAgir ou subir
Agir ou subir
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
Conférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMATConférence IE et RH - REUNIVEILLE CADRIFORMAT
Conférence IE et RH - REUNIVEILLE CADRIFORMAT
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 

CF6it-solutions.lu

  • 1. Profil sécuritésuisse le couteauCF6, Branche spécialiste du conseil et du management de la sécurité au sein du groupe Telindus, CF6 Luxembourg a pour ambition de devenir beaucoup plus présent et d’offrir un centre local au Luxembourg en matière d’analyse d’incidents. Cette offre de « log-forensics » se peaufine, se couple avec la veille technologique, les tests d’intrusion, les audits… Un véritable couteau suisse de la sécurité informatique. 54 « On entend souvent parler des grosses attaques mondiales, mais il faut savoir que le Luxembourg est aussi vulnérable qu’un autre pays, affirme Daniel Soriano, Business Devlopment de CF6 Luxembourg. La place bancaire génère une activité qui vient de l’extérieur, importante. Certaines banques par exemple on subit un « effacement », c’est la face visible d’un iceberg, ce qui s’étant passé derrière restant dans l’ombre. CF6, pour Conseil Formation Système, et société d’origine française, a été créée en 1985, ce qui fait d’elle une des plus anciennes sociétés de conseils en matière de sécu- rité informatique.« On a commencé par donner du conseil sur les gros systèmes, explique Daniel Soriano, Business Devlopment chez CF6 Luxembourg. On s’est externalisé et déployé en Belgique en 95 et en 99 au Luxembourg. » D’abord installée au boulevard royal, CF6 s’est retrouvée à Esch-sur-Alzette dans le centre opérationnel de Telindus après l’acquisition de CF6 par l’intégrateur renommé. « Jusqu’en juin 2000, nous étions financièrement indépen- dant, et pour grandir nous avons souhaité nous rapprocher de quelqu’un de plus grand que nous. Cela n’a pas été un rapprochement, mais un rachat par le groupe Telindus. » La dizaine de personnes à Luxembourg, est essentiellement composée de consultants, les services commerciaux et administratifs étant repris sous la bannière rouge de Telindus. A 100% fille de Telindus, CF6 se veut néanmoins toujours indépendante dans l’esprit. La partie intégration étant le fer de lance de Telindus, les autres activités restent séparées : magasin, maintenance, et conseil sécurité. Une offre complète Telindus et CF6 couvrent tous les besoins de sécurité de ses clients. Du démarrage de projet, en termes de conseils, à l’installation, jusqu’au suivi, l’offre se montre complète. « Lorsque les sociétés se sont ouvertes à l’internet, on a évi- demment protégé ces accès par l’installation de firewalls, d’anti-virus, d’IDS,…, explique Daniel Soriano. Aujourd’hui, les grandes sociétés à Luxembourg en sont équipés. Par contre, elles voient arriver un nouveau problème : celui de l’organisation (avoir plus de recul pour déterminer les points faibles), et un très gros point noir qui est celui du manage- ment de ces architectures sécuritaires. » L’exemple concret : la société dispose bien d’un firewalls, mais on le laisse tour- ner, sans le patcher, sans suivre les incidents. Toutes ces entreprises se concentrent désormais sur la sécurité en fonction du business,car la sécurité peut devenir un gouffre sans fin. Il est donc important de déterminer jusqu’où on veut aller, contre quels risques veut-on se protéger. « Ces analyses de risques permettent de déterminer les attaques potentielles, leurs conséquences en perte financière, opéra- tionnelle, en image et réputation, aussi. Derrière, il faut voir contre quoi on veut se protéger et ça,ce n’est pas au niveau IT, que cela se joue. » SOCIÉTÉ > > >
  • 2. 55 SOCIÉTÉ De l’audit et du résultat CF6 propose également des audits des systèmes.Or dans ce monde où toutes les sociétés se positionnent dans ce cré- neau de l’audit, les approches peuvent être différentes. CF6 veut s’inscrire dans les normes qui permettent d’obtenir un résultat palpable pour ses clients. Les standards anglais BS7799,devenue ISO17799 (puis désormais sans le label ISO pour manque de fiabilité et en phase de résivion),sont en ce sens des gages de qualité de la mise en œuvre des procé- dures d’audits. « Même si elles portent le nom de best practices,pour nous cela ne reste que des good practices. Cela n’est pas plus pour nous qu’un cadre de travail,assure Daniel Soriano.Il y a des normes qui sont beaucoup plus pointues et qui per- mettent d’aller plus loin dans les analyses,ce sont par exem- ples les ISO13335 au niveau organisationnel et la 15408 qui permet de définir des profils de protection et de sécurité. Il faut aussi savoir qu’il y a des méthodologies propriétaires comme Melisa, Marion, Mehari,… Dès lors, il nous apparaît que pour délivrer un audit de qualité, il faut que les métho- des soient basées sur un système propriétaire reconnu ou sur des normes.Sinon,on pourrait oublier beaucoup de par- ties, ce que l’on ne peut pas se permettre aujourd’hui. » Intrusions éthiques La partie des tests intrusifs est encore relativement récente, étant âgée de trois ou quatre ans. Si l’audit annuel est inté- ressant, le test intrusif lui est très complémentaire et plus réactif. On peut les pratiquer tous les, trois, six mois. Moins lourd en terme de ressources internes pour les sociétés, le test intrusif checke les systèmes avec une approche de ethi- cal hacker. « Nous utilisons des outils commerciaux, comme les grands scanners d’ISS, des exploits, qui permettent d’ex- ploiter les vulnérabilités,et des outils internes à CF6.Pour ces derniers, nous avons huit personnes en R&D à Paris qui sont charger de réaliser des outils sur les dernières vulnérabilités. Mais rassurez-vous, il n’y a aucun hacker chez CF6. Nous ne pouvons travailler avec ces gens : on ne peut jamais savoir quelle serait sa réaction s’il tombe sur des informations confidentielles. Une société sérieuse aujourd’hui, ne peut utiliser des hackers. » Pour un test intrusif, la globalité est de mise : internet, téléphone,… « Et aujourd’hui encore, notre département R&D travaille sur les possibilités des attaques en wireless. On est en train de montrer une démo, pour expliquer que ces premiers réseaux wireless prenaient peu en compte les aspects de sécurité. » Sans compter les attaques internes, car aujourd’hui, il est vraiment aisé de déposer une bombe logique sur un serveur sans être un véritable génie technique… Parce que la sécurité informa- tique est plus qu’un simple enjeu commercial, c’est avant tout une stratégie multiple qui doit garantir la disponibilité du business. C’est ce que propose CF6… RHy Article paru dans it-solutions.lu de septembre 2002