SlideShare une entreprise Scribd logo
«Chaque employé constitue une brique dans
le bouclier contre les hackers», explique
Daniel Soriano, Sales Department Manager,
Consulting & Engineering Services chez
Telindus. «Les entreprises veulent utiliser
des solutions pour diminuer le risque posé
par le facteur humain, explique Jean-Pierre
Henderyckx, Department Manager, Network
&SecuritySolutions,Consulting&Saleschez
Telindus. Il faut agir en amont du réseau pour
protéger correctement les outils et scanner
le matériel avant de l’intégrer au système
interne. Nous devons, progressivement,
mettre ensemble les Unified Communica -
tions et la sécurité.»
TESTS ET DÉ TE C TIONS
BOOST É S
«Au niveau des applications, parfois, la
fonctionnalité de l’application prime sur les
contrôles sécurité implémentés, explique
DanielSoriano.Denouvellestechniquesper-
mettent aujourd’hui d’analyser entièrement,
d’un point de vue sécurité, le code source
de ces applications, afin de détecter les me-
naces présentes.» Il est tout aussi probable
de détecter des erreurs de programmation
(bugs permettant un buffer overflow,…) que
des menaces plus ou moins volontaires
(chevaux de Troie, backdoors,…). «La revue
de code sécurisé présente un bon complé-
ment au test d’intrusion, explique Daniel
Soriano. Elle peut être lancée alors que le
développement n’est pas encore finalisé et
mettre en évidence des éléments imper -
ceptibles de l’extérieur.» La CSSF préconise
quelessiteswebtransactionnelssoienttes -
tés après chaque mise à jour majeure. «Par
rapport à la norme IS O/IEC 27001:2005, le
Luxembourg est un peu en retard par rap -
port à d’autres pays, dit Daniel Soriano. À
l’heure actuelle, une seule entreprise est
certifiée ISO 27001… alors que plus de 200
entreprises ont décroché l’IS O 9000, qui
date, il est vrai, de 1987.»
PAT C HER « À LA VOL É E »
Enfin, la multiplicité et la diversité des appli-
cations présentes dans les environnements
physiques et virtuels rendent difficile, voir
impossible, l’application de la totalité des
patchs sécurité proposés par les éditeurs.
«Il existe des solutions innovantes IPP (Inline
Patch Proxy) permettant de patcher les flux
‘à la volée’ et donc de pouvoir consolider les
fenêtres de maintenance sur des cycles plus
espacés», indique Jean-Pierre Henderyckx.
Jeu, set et patch
Après huit ans de tests d’intrusion et la mise en place de
nombreuses infrastructures sécurité, Telindus constate que les
entreprises luxembourgeoises sont généralement bien protégées
contre les agressions externes.
Jusqu’à présent, trop de budget sécurité a été consacré aux réseaux et aux
systèmes, et trop peu pour enrayer les menaces dues au facteur humain. Se-
lon Telindus, citant Gartner, 80 % des entreprises subiront des attaques au ni-
veau applicatif en 2009. Les tests d’intrusion et d’ingénierie sociale menés par
l’intégrateur vont dans le même sens : les risques sont moindres de voir les
menaces entrer par le biais du réseau. Pour augmenter le niveau de sécurité
de ses clients, Telindus place les priorités à deux niveaux : les individus et les
applications.
TEC HNICA L D EVELOPMENT MANAGER
38 AVRIL 08
LEGRANDDOSSIER
Sécurité
Daniel Soriano, Sales Department Manager
Consulting & Engineering Services chez Telindus
AVRIL 08 39
BUSINESS Trends∆
[ 10 ] Soluxions 66 - Mai2008
Les banquiers luxembourgeois s’estiment «bien
° La confiance? Un rapport direct avec la taille de
l’organisation
Seulement 18% des petites banques s’estiment «très
bien protégées». En revanche, 30% des grandes
organisations estiment l’être. Le niveau de confiance
serait donc proportionnel à la taille, exprimée par le
nombre d’employés, indice en rapport avec l’importance
des ressources qui peuvent être allouées à l’effort de
sécurité. En revanche, le rapport s’inverse si l’on évalue
l’importance des capitaux: plus importants sont ceux-ci,
moins les banques s’estiment «très bien protégées»…
° Le budget alloué à la sécurité? Plutôt stable…
La question du budget est cruciale pour implémenter
de nouvelles technologies ou, plus simplement, garantir
le niveau de conformité nécessaire. Dans la plupart des
banques, la sécurité est encore et toujours considérée
comme un centre de coût. 54% des institutions
interrogées confirment que leur budget est stable;
41% évoquent une évolution. Aucun répondant, c’est
heureux, n’a évoqué de réduction de budget.
° Information Security Officer, une fonction
naturellement proche de l’IT
82% des banques ont nommé un Information Security
Officer. Mais ce n’est là qu’une moyenne. En fait, tout
dépend de l’importance de la banque, les plus grandes
ayant été les plus nombreuses (90%) à officialiser cette
responsabilité. Ceci noté, cette personne assure par ailleurs
d’autres responsabilités. Principalement l’IT (43%), ensuite les
risques opérationnels (19%) et la sécurité physique (19%). De
toute évidence, le lien entre sécurité et IT est -et reste- fort.
° Business Continuity, les plus grandes font la
différence!
Une priorité, c’est évident. Mais des niveaux de tolérance
relativement différents d’une banque à l’autre. Si l’on
peut se risquer à établir une moyenne, le «downtime» est
de moins de 4 heures (58%). Plus intéressant: l’étude a
montré une corrélation forte avec le montant des capitaux:
19% des banques disposant de plus de 5.000 millions
d’EUR annoncent un «downtime» s’exprimant en minutes.
Par ailleurs, si 97% des banques ont un BCP (Business
Continuity Plan), il apparaît que 15% des répondants ne
disposent pas d’un BCP formalisé, testé et maintenu…
Pour la première fois, via le «Benchmark 2007 of Information Security - Banks and insurances
in Luxembourg», les banques et les compagnies d’assurance luxembourgeoises ont évoqué
ouvertement leur politique en matière de sécurité. Bien que limitée à 51 institutions,
l’initiative de Telindus Luxembourg mérite d’être saluée. Son rapport de 64 pages -réalisé
en partenariat avec l’ABBL (Association des Banques et Banquiers de Luxembourg), l’ACA
(Association des Compagnies d’Assurances), la CSSF (Commission de Surveillance du
Secteur Financier) et le Ministère de l’Economie- est riche en informations, réflexions et
tendances. Soluxions a épinglé une série d’informations relatives au secteur bancaire.
«Benchmark 2007 of Information Security - Banks and insurances in
Luxembourg» est une initiative de Telindus Luxembourg.
Ont contribué à cette première édition: Olivier Antoine, Crédric
Mauny, Renaud Dumas et Daniel Soriano.
Si l’Information Security Officer assure d’autres responsabilités,
quelles sont-elles?
IT 43%
Risques opérationnels 19%
Risques physiques 19%
Audit 14%
Management 5%
Autres 38%
0 10 20 30 40 50
Soluxions 66 - Mai2008 [ 11 ]
protégés», voire «très bien protégés»
° Les technologies d’authentification forte
et de gestion des identités en retrait
Suprématie des firewalls (97%), programmes d’anti-virus
(92%), outils d’encryption (82%) et autres IDS/IPS (71%).
En revanche, moins d’intérêt pour l’authentification
forte -biométrie, token, etc. Niveau de pénétration:
34%. Précisons ici que l’attentisme des banques sur le
sujet de l’authentification forte n’est pas propre à la
place luxembourgeoise… mais au secteur financier en
général. Or, les attaques de «phishing» (tentative de vol
d’informations personnelles) sont bien réelles! Retard,
également, au niveau de la gestion des identités. Le SSO
(Single Sign-On) recueille à peine 16%. La technologie,
il est vrai, s’intègre le plus souvent à un projet de
sécurité plus étendu, dans lequel elle ne constitue
qu’un élément secondaire, voire un simple bonus.
La veille technologique? Une question de ressources!
Gestion, analyse, suivi… La prévention des risques est
aussi un investissement intellectuel. Telindus parle à
raison de «veille technologique». Il apparaît que 58%
des banques affirment mener une démarche de veille
technologique, mais pas systématiquement. L’écart entre
les banques qui mènent une démarche systématique
et celles qui ne le font pas est très net si l’on tient
compte de la taille: 50% pour les plus grandes, 29%
pour les moyennes et 18% pour les plus petites.
Menez-vous une politique de veille technologique en matière de sécurité?
n Ne sait pas/N’a pas répondu
n Non
n Non, mais la démarche est envisagée
n Oui, mais pas systématiquement
n Oui, systématiquement
De 1 à 49 employés
De 50 à 249 employés
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Plus de 250 employés
De 1 à 49
employés
De 50 à 249
employés
Plus de 250
employés
Firewalls » « «
Anti-virus sur stations de travail ∆ » «
Anti-virus sur portails de messagerie « » ∆
Outils d’encryption » ∆ «
IDS/IPS » « «
Anti-spyware/ Anti-malware » « »
Authentification forte » « »
Firewalls individuels » ∆ «
SSO » » «
Les choix technologiques sont fonction de la taille de la banque
Pleins feux
sur la sécurité
Telindus a présenté les résultats de son étude sur l’état
de la sécurité de l’information au Luxembourg.
Première étude sur la sécurité exclusivement dédiée au Grand-Duché de
Luxembourg, ‘Benchmark 2007’ analyse l’état de la sécurité de l’information au
sein de 51 banques et sociétés d’assurances. Lancée l’été dernier par Telindus
PSF, l’étude s’adressait à plusieurs domaines de sécurité: physique, business
continuity, conformité, standardisation, responsabilisation, etc.
Avec cette première étude, Telindus PSF veut
ainsi donner un angle local à la problématique
de la sécurité et fournir des résultats utiles aux
institutions publiques et aux responsables de la
sécurité des systèmes d’information (RSSI). La
société a également souhaité mettre l’accent
sur la confidentialité des données. Ainsi, les
réponses furent utilisées avec la confidentialité
la plus complète, sans identifier directement
ou indirectement les participants. Un élément
important à prendre en compte alors que 80%
des répondants de l’étude représentent le sec-
teur bancaire, contre 20% pour les sociétés
d’assurances, et que les RSSI doivent évaluer
la sécurité de leurs systèmes…
Lors de l’évaluation du degré de protection
en termes de sécurité d’information, les RSSI
ont répondu: très bonne (20%), bonne ou
relativement bonne (75%) et mauvaise ou
insuffisante (5%). En termes de budget alloué
à la sécurité de l’information, 20% des répon-
dants prédisent une augmentation majeure
dans l’année à venir, 31% une augmentation,
41% que cela restera constant et 8% n’ont
donné aucune réponse. Plus précisément,
alors que les banques répondent en majo-
rité (55%) que les investissements seront
constants, les sociétés d’assurance y voient
une augmentation très importante (38%) ou
importante (46%). Seules 8% prédisent un
investissement semblable à l’année précé-
dente, ce qui induit une focalisation accrue
pour ces sociétés. Enfin, 72% des répon-
dants on un plan de business continuity en
place et formalisé, tandis que 20% sont en
cours, et 8% n’ont encore défini aucune stra-
tégie en la matière.
rÔlE(s) Du rssi
De manière générale, les répondants esti-
ment que le rôle du RSSI est bien défini et
chapeaute même d’autres fonctions (32%).
Cependant, 10% d’entre eux pensent que
la responsabilisation du RSSI n’est pas
assez claire tandis que 8% déclarent que
cette problématique est en cours de résolu-
tion. Le RSSI peut aussi prendre en charge
d’autres fonctions, telles que l’IT, le risque
opérationnel, la sécurité physique, l’audit et
le management. En matière de risques, 15%
des répondants estiment que le risk assess-
ment est fait en fonction d’une méthodologie
reconnue, tandis que dans 65% des cas, la
méthode est inhouse. Dans 20% des cas, le
risk assessment n’est soit pas encore défini,
soit pas encore en projet.
la CErtiFiCatioN,
NoN prioritairE
Telindus PSF a également comparé les
systèmes d’information du secteur des ban-
cassurances luxembourgeois aux standards
internationaux ISO/IEC 27002 :2005.
Selon l’étude de Telindus, 65% des répon-
dants sont familiers avec ces standards,
tandis qu’environ un tiers des personnes les
connaissent peu ou pas du tout. Alors que
45% des sociétés sont en train d’implémen-
ter les recommandations émises par ces
standards, environ 55% ne comptent pas les
développer, ou les ignorent. Enfin, seuls 10%
des répondants vont suivre cette standardi-
sation jusqu’à obtenir la certification.
//// priorités pour
l’aNNéE 2008 ////
1. Data confidentiality
2. a. Awareness-raising
and training of the personnel
b. Data backup
c. Disaster recovery
and business continuity plan
3. Information security policy
4. Network and remote
access protection
5. Analysis of risks
6. Compliance with legal
and regulatory aspects
7. a. Physical protection
of equipment and data
b. Rights, access and privilege control
8. Identification and classification
of assets and definition
of responsibilities
9. Information system monitoring,
incident detection and response
10. Protection against viruses,
malware, spyware and spam
JUIN 08 73
BUSINESS DECISION MAKER
ACTUAL-IT
Sécurité

Contenu connexe

Tendances

Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
Symantec
 
Robert half cybersécurité - protéger votre avenir
Robert half   cybersécurité - protéger votre avenirRobert half   cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
Robert Half France
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
OpinionWay
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.michelcusin
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
ITrust - Cybersecurity as a Service
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
ITrust - Cybersecurity as a Service
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
NetSecure Day
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12michelcusin
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
polenumerique33
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
Antoine Vigneron
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digital
EY
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielfEngel
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
EY
 

Tendances (20)

Manifeste pour la cyber-résilience
Manifeste pour la cyber-résilienceManifeste pour la cyber-résilience
Manifeste pour la cyber-résilience
 
Robert half cybersécurité - protéger votre avenir
Robert half   cybersécurité - protéger votre avenirRobert half   cybersécurité - protéger votre avenir
Robert half cybersécurité - protéger votre avenir
 
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
CESIN - Baromètre de la cyber-sécurité des entreprises - Vague 1 - Par Opinio...
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.
 
Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17Manifeste ResistanceCYBER 15.05.17
Manifeste ResistanceCYBER 15.05.17
 
Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17Manifeste ResistanceCYBER 18.05.17
Manifeste ResistanceCYBER 18.05.17
 
Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17Manifeste ResistanceCYBER 17.05.17
Manifeste ResistanceCYBER 17.05.17
 
Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17Manifeste ResistanceCYBER 19.05.17
Manifeste ResistanceCYBER 19.05.17
 
Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17Manifeste ResistanceCYBER 29.05.17
Manifeste ResistanceCYBER 29.05.17
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
 
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
#NSD16 - cybersecurite - comment se protéger d’un point de vue légal & assura...
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'information
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12
 
ANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PMEANSSI D2IE Formation à la cybersécurité des TPE / PME
ANSSI D2IE Formation à la cybersécurité des TPE / PME
 
Jeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécuritéJeudi de l AFAI - Transformations de la cybersécurité
Jeudi de l AFAI - Transformations de la cybersécurité
 
Cybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digitalCybersécurité : créer les conditions de la confiance dans le monde digital
Cybersécurité : créer les conditions de la confiance dans le monde digital
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industriel
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 

En vedette

J&Cie - Présentation de la Task Force
J&Cie - Présentation de la Task ForceJ&Cie - Présentation de la Task Force
J&Cie - Présentation de la Task Force
Frédéric Sagez
 
Pinhole story
Pinhole storyPinhole story
Pinhole story
Anne Nicolas
 
Proverbes bretons
Proverbes bretonsProverbes bretons
Proverbes bretons
eric4274
 
Fi de Curs l'Esplai Sant Celoni Gent Gran Ateneu 26-6-10
Fi de Curs l'Esplai Sant Celoni Gent Gran Ateneu 26-6-10Fi de Curs l'Esplai Sant Celoni Gent Gran Ateneu 26-6-10
Fi de Curs l'Esplai Sant Celoni Gent Gran Ateneu 26-6-10
zztopzz .
 
Rallye Maya 2014 au Yucatán, Mexique
Rallye Maya 2014 au Yucatán, MexiqueRallye Maya 2014 au Yucatán, Mexique
Rallye Maya 2014 au Yucatán, Mexique
Le Grand Journal du Mexique
 
Leica m651 brochure_fr
Leica m651 brochure_frLeica m651 brochure_fr
Leica m651 brochure_fr
IDRISSA MEITE
 
Beautiful Roses - Part 2
Beautiful Roses - Part 2Beautiful Roses - Part 2
Beautiful Roses - Part 2
Thilini
 
Linkbuilding: Fondamentaux - SMX Paris 2010
Linkbuilding: Fondamentaux - SMX Paris 2010Linkbuilding: Fondamentaux - SMX Paris 2010
Linkbuilding: Fondamentaux - SMX Paris 2010
Alexandre Villeneuve
 
PNS-Vernon
PNS-VernonPNS-Vernon
PNS-Vernon
Baptiste Fostein
 
Press book dissertation defense
Press book dissertation defensePress book dissertation defense
Press book dissertation defenseAbdourahim kebe
 
TABLAS DE RETENCIÓN
TABLAS DE RETENCIÓNTABLAS DE RETENCIÓN
TABLAS DE RETENCIÓN
marianlennis08
 
07 Histoires Sur Les Blondes Partie 2
07 Histoires Sur Les Blondes Partie 207 Histoires Sur Les Blondes Partie 2
07 Histoires Sur Les Blondes Partie 2guesta001d1
 
Marche Saint-Roch de Thuin
Marche Saint-Roch de ThuinMarche Saint-Roch de Thuin
Marche Saint-Roch de Thuin
Vanadenhoven
 
Artisanat roumain - Comenius Romania 2014, Liceul Teoretic "Traian Doda" Cara...
Artisanat roumain - Comenius Romania 2014, Liceul Teoretic "Traian Doda" Cara...Artisanat roumain - Comenius Romania 2014, Liceul Teoretic "Traian Doda" Cara...
Artisanat roumain - Comenius Romania 2014, Liceul Teoretic "Traian Doda" Cara...
Alexandra Nicolau
 

En vedette (20)

J&Cie - Présentation de la Task Force
J&Cie - Présentation de la Task ForceJ&Cie - Présentation de la Task Force
J&Cie - Présentation de la Task Force
 
Pinhole story
Pinhole storyPinhole story
Pinhole story
 
Proverbes bretons
Proverbes bretonsProverbes bretons
Proverbes bretons
 
Fi de Curs l'Esplai Sant Celoni Gent Gran Ateneu 26-6-10
Fi de Curs l'Esplai Sant Celoni Gent Gran Ateneu 26-6-10Fi de Curs l'Esplai Sant Celoni Gent Gran Ateneu 26-6-10
Fi de Curs l'Esplai Sant Celoni Gent Gran Ateneu 26-6-10
 
Rallye Maya 2014 au Yucatán, Mexique
Rallye Maya 2014 au Yucatán, MexiqueRallye Maya 2014 au Yucatán, Mexique
Rallye Maya 2014 au Yucatán, Mexique
 
Opportnité eps
Opportnité epsOpportnité eps
Opportnité eps
 
Leica m651 brochure_fr
Leica m651 brochure_frLeica m651 brochure_fr
Leica m651 brochure_fr
 
Beautiful Roses - Part 2
Beautiful Roses - Part 2Beautiful Roses - Part 2
Beautiful Roses - Part 2
 
Créixer en la fe
Créixer en la feCréixer en la fe
Créixer en la fe
 
Linkbuilding: Fondamentaux - SMX Paris 2010
Linkbuilding: Fondamentaux - SMX Paris 2010Linkbuilding: Fondamentaux - SMX Paris 2010
Linkbuilding: Fondamentaux - SMX Paris 2010
 
PNS-Vernon
PNS-VernonPNS-Vernon
PNS-Vernon
 
Press book dissertation defense
Press book dissertation defensePress book dissertation defense
Press book dissertation defense
 
TABLAS DE RETENCIÓN
TABLAS DE RETENCIÓNTABLAS DE RETENCIÓN
TABLAS DE RETENCIÓN
 
Test One
Test OneTest One
Test One
 
07 Histoires Sur Les Blondes Partie 2
07 Histoires Sur Les Blondes Partie 207 Histoires Sur Les Blondes Partie 2
07 Histoires Sur Les Blondes Partie 2
 
Bac 2007
Bac 2007Bac 2007
Bac 2007
 
Marche Saint-Roch de Thuin
Marche Saint-Roch de ThuinMarche Saint-Roch de Thuin
Marche Saint-Roch de Thuin
 
H2 1
H2 1H2 1
H2 1
 
Besgraphik
BesgraphikBesgraphik
Besgraphik
 
Artisanat roumain - Comenius Romania 2014, Liceul Teoretic "Traian Doda" Cara...
Artisanat roumain - Comenius Romania 2014, Liceul Teoretic "Traian Doda" Cara...Artisanat roumain - Comenius Romania 2014, Liceul Teoretic "Traian Doda" Cara...
Artisanat roumain - Comenius Romania 2014, Liceul Teoretic "Traian Doda" Cara...
 

Similaire à IT News2 0804 Jeu set et patch

Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceMenaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en france
Bee_Ware
 
Campagne business security
Campagne business securityCampagne business security
Campagne business security
Thomas Alostery
 
Rapport de Post
Rapport de PostRapport de Post
Rapport de Post
Paperjam_redaction
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
PECB
 
Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016
Scalar Decisions
 
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...
EY
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
Pierre SARROLA
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
EY
 
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Alain EJZYN
 
Pwc barometre-cybersecurite-septembre-2018
Pwc barometre-cybersecurite-septembre-2018Pwc barometre-cybersecurite-septembre-2018
Pwc barometre-cybersecurite-septembre-2018
Société Tripalio
 
Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016
Laetitia Berché
 
Seule 1 entreprise sur 2 a mis en place une stratégie de cybersécurité
Seule 1 entreprise sur 2 a mis en place une stratégie de cybersécuritéSeule 1 entreprise sur 2 a mis en place une stratégie de cybersécurité
Seule 1 entreprise sur 2 a mis en place une stratégie de cybersécurité
Ipsos France
 
Banques et Assurances : Comment lutter avec une plus grande efficacite contre...
Banques et Assurances : Comment lutter avec une plus grande efficacite contre...Banques et Assurances : Comment lutter avec une plus grande efficacite contre...
Banques et Assurances : Comment lutter avec une plus grande efficacite contre...
BRIVA
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
NRC
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdf
Gaudefroy Ariane
 
La perception du risque cyber par les dirigeants d’entreprises
La perception du risque cyber par les dirigeants d’entreprisesLa perception du risque cyber par les dirigeants d’entreprises
La perception du risque cyber par les dirigeants d’entreprises
contactOpinionWay
 
Guide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiquesGuide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiques
Sophie Roy
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatique
Laurent DAST
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
polenumerique33
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
CGPME des Pays de la Loire
 

Similaire à IT News2 0804 Jeu set et patch (20)

Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceMenaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en france
 
Campagne business security
Campagne business securityCampagne business security
Campagne business security
 
Rapport de Post
Rapport de PostRapport de Post
Rapport de Post
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016Résumé de l’étude sur la sécurité de Scalar 2016
Résumé de l’étude sur la sécurité de Scalar 2016
 
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...
Cyber-attaques : Comment les combattre ? Gérer les risques connus, anticiper ...
 
EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013EI-Institut - Newsletter Check Point - Septembre 2013
EI-Institut - Newsletter Check Point - Septembre 2013
 
Cap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagirCap sur la cyberrésilience : anticiper, résister, réagir
Cap sur la cyberrésilience : anticiper, résister, réagir
 
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
Quelles sont les meilleures pratiques en matière d’anticipation et de gestion...
 
Pwc barometre-cybersecurite-septembre-2018
Pwc barometre-cybersecurite-septembre-2018Pwc barometre-cybersecurite-septembre-2018
Pwc barometre-cybersecurite-septembre-2018
 
Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016
 
Seule 1 entreprise sur 2 a mis en place une stratégie de cybersécurité
Seule 1 entreprise sur 2 a mis en place une stratégie de cybersécuritéSeule 1 entreprise sur 2 a mis en place une stratégie de cybersécurité
Seule 1 entreprise sur 2 a mis en place une stratégie de cybersécurité
 
Banques et Assurances : Comment lutter avec une plus grande efficacite contre...
Banques et Assurances : Comment lutter avec une plus grande efficacite contre...Banques et Assurances : Comment lutter avec une plus grande efficacite contre...
Banques et Assurances : Comment lutter avec une plus grande efficacite contre...
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
cybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdfcybersecurite-passons-lechelle-rapport.pdf
cybersecurite-passons-lechelle-rapport.pdf
 
La perception du risque cyber par les dirigeants d’entreprises
La perception du risque cyber par les dirigeants d’entreprisesLa perception du risque cyber par les dirigeants d’entreprises
La perception du risque cyber par les dirigeants d’entreprises
 
Guide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiquesGuide cgpme annsi bonnes pratiques
Guide cgpme annsi bonnes pratiques
 
Guide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatiqueGuide des bonnes pratiques de l'informatique
Guide des bonnes pratiques de l'informatique
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSILe guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
Le guide des bonnes pratiques de l'informatique par la CGPME et l'ANSSI
 

Plus de Daniel Soriano

Innova_120420_IT_nation
Innova_120420_IT_nationInnova_120420_IT_nation
Innova_120420_IT_nationDaniel Soriano
 
Business review 0812 IS your database protected
Business review 0812 IS your database protectedBusiness review 0812 IS your database protected
Business review 0812 IS your database protectedDaniel Soriano
 
iTOne 0803 Paradoxe de la sécurité
iTOne 0803 Paradoxe de la sécuritéiTOne 0803 Paradoxe de la sécurité
iTOne 0803 Paradoxe de la sécuritéDaniel Soriano
 

Plus de Daniel Soriano (6)

PaperJam_130701_DC
PaperJam_130701_DCPaperJam_130701_DC
PaperJam_130701_DC
 
Innova_120420_IT_nation
Innova_120420_IT_nationInnova_120420_IT_nation
Innova_120420_IT_nation
 
Business review 0812 IS your database protected
Business review 0812 IS your database protectedBusiness review 0812 IS your database protected
Business review 0812 IS your database protected
 
iTOne 0803 Paradoxe de la sécurité
iTOne 0803 Paradoxe de la sécuritéiTOne 0803 Paradoxe de la sécurité
iTOne 0803 Paradoxe de la sécurité
 
123 go_network_org
123 go_network_org123 go_network_org
123 go_network_org
 
CF6it-solutions.lu
CF6it-solutions.luCF6it-solutions.lu
CF6it-solutions.lu
 

IT News2 0804 Jeu set et patch

  • 1. «Chaque employé constitue une brique dans le bouclier contre les hackers», explique Daniel Soriano, Sales Department Manager, Consulting & Engineering Services chez Telindus. «Les entreprises veulent utiliser des solutions pour diminuer le risque posé par le facteur humain, explique Jean-Pierre Henderyckx, Department Manager, Network &SecuritySolutions,Consulting&Saleschez Telindus. Il faut agir en amont du réseau pour protéger correctement les outils et scanner le matériel avant de l’intégrer au système interne. Nous devons, progressivement, mettre ensemble les Unified Communica - tions et la sécurité.» TESTS ET DÉ TE C TIONS BOOST É S «Au niveau des applications, parfois, la fonctionnalité de l’application prime sur les contrôles sécurité implémentés, explique DanielSoriano.Denouvellestechniquesper- mettent aujourd’hui d’analyser entièrement, d’un point de vue sécurité, le code source de ces applications, afin de détecter les me- naces présentes.» Il est tout aussi probable de détecter des erreurs de programmation (bugs permettant un buffer overflow,…) que des menaces plus ou moins volontaires (chevaux de Troie, backdoors,…). «La revue de code sécurisé présente un bon complé- ment au test d’intrusion, explique Daniel Soriano. Elle peut être lancée alors que le développement n’est pas encore finalisé et mettre en évidence des éléments imper - ceptibles de l’extérieur.» La CSSF préconise quelessiteswebtransactionnelssoienttes - tés après chaque mise à jour majeure. «Par rapport à la norme IS O/IEC 27001:2005, le Luxembourg est un peu en retard par rap - port à d’autres pays, dit Daniel Soriano. À l’heure actuelle, une seule entreprise est certifiée ISO 27001… alors que plus de 200 entreprises ont décroché l’IS O 9000, qui date, il est vrai, de 1987.» PAT C HER « À LA VOL É E » Enfin, la multiplicité et la diversité des appli- cations présentes dans les environnements physiques et virtuels rendent difficile, voir impossible, l’application de la totalité des patchs sécurité proposés par les éditeurs. «Il existe des solutions innovantes IPP (Inline Patch Proxy) permettant de patcher les flux ‘à la volée’ et donc de pouvoir consolider les fenêtres de maintenance sur des cycles plus espacés», indique Jean-Pierre Henderyckx. Jeu, set et patch Après huit ans de tests d’intrusion et la mise en place de nombreuses infrastructures sécurité, Telindus constate que les entreprises luxembourgeoises sont généralement bien protégées contre les agressions externes. Jusqu’à présent, trop de budget sécurité a été consacré aux réseaux et aux systèmes, et trop peu pour enrayer les menaces dues au facteur humain. Se- lon Telindus, citant Gartner, 80 % des entreprises subiront des attaques au ni- veau applicatif en 2009. Les tests d’intrusion et d’ingénierie sociale menés par l’intégrateur vont dans le même sens : les risques sont moindres de voir les menaces entrer par le biais du réseau. Pour augmenter le niveau de sécurité de ses clients, Telindus place les priorités à deux niveaux : les individus et les applications. TEC HNICA L D EVELOPMENT MANAGER 38 AVRIL 08 LEGRANDDOSSIER Sécurité
  • 2. Daniel Soriano, Sales Department Manager Consulting & Engineering Services chez Telindus AVRIL 08 39
  • 3. BUSINESS Trends∆ [ 10 ] Soluxions 66 - Mai2008 Les banquiers luxembourgeois s’estiment «bien ° La confiance? Un rapport direct avec la taille de l’organisation Seulement 18% des petites banques s’estiment «très bien protégées». En revanche, 30% des grandes organisations estiment l’être. Le niveau de confiance serait donc proportionnel à la taille, exprimée par le nombre d’employés, indice en rapport avec l’importance des ressources qui peuvent être allouées à l’effort de sécurité. En revanche, le rapport s’inverse si l’on évalue l’importance des capitaux: plus importants sont ceux-ci, moins les banques s’estiment «très bien protégées»… ° Le budget alloué à la sécurité? Plutôt stable… La question du budget est cruciale pour implémenter de nouvelles technologies ou, plus simplement, garantir le niveau de conformité nécessaire. Dans la plupart des banques, la sécurité est encore et toujours considérée comme un centre de coût. 54% des institutions interrogées confirment que leur budget est stable; 41% évoquent une évolution. Aucun répondant, c’est heureux, n’a évoqué de réduction de budget. ° Information Security Officer, une fonction naturellement proche de l’IT 82% des banques ont nommé un Information Security Officer. Mais ce n’est là qu’une moyenne. En fait, tout dépend de l’importance de la banque, les plus grandes ayant été les plus nombreuses (90%) à officialiser cette responsabilité. Ceci noté, cette personne assure par ailleurs d’autres responsabilités. Principalement l’IT (43%), ensuite les risques opérationnels (19%) et la sécurité physique (19%). De toute évidence, le lien entre sécurité et IT est -et reste- fort. ° Business Continuity, les plus grandes font la différence! Une priorité, c’est évident. Mais des niveaux de tolérance relativement différents d’une banque à l’autre. Si l’on peut se risquer à établir une moyenne, le «downtime» est de moins de 4 heures (58%). Plus intéressant: l’étude a montré une corrélation forte avec le montant des capitaux: 19% des banques disposant de plus de 5.000 millions d’EUR annoncent un «downtime» s’exprimant en minutes. Par ailleurs, si 97% des banques ont un BCP (Business Continuity Plan), il apparaît que 15% des répondants ne disposent pas d’un BCP formalisé, testé et maintenu… Pour la première fois, via le «Benchmark 2007 of Information Security - Banks and insurances in Luxembourg», les banques et les compagnies d’assurance luxembourgeoises ont évoqué ouvertement leur politique en matière de sécurité. Bien que limitée à 51 institutions, l’initiative de Telindus Luxembourg mérite d’être saluée. Son rapport de 64 pages -réalisé en partenariat avec l’ABBL (Association des Banques et Banquiers de Luxembourg), l’ACA (Association des Compagnies d’Assurances), la CSSF (Commission de Surveillance du Secteur Financier) et le Ministère de l’Economie- est riche en informations, réflexions et tendances. Soluxions a épinglé une série d’informations relatives au secteur bancaire. «Benchmark 2007 of Information Security - Banks and insurances in Luxembourg» est une initiative de Telindus Luxembourg. Ont contribué à cette première édition: Olivier Antoine, Crédric Mauny, Renaud Dumas et Daniel Soriano. Si l’Information Security Officer assure d’autres responsabilités, quelles sont-elles? IT 43% Risques opérationnels 19% Risques physiques 19% Audit 14% Management 5% Autres 38% 0 10 20 30 40 50
  • 4. Soluxions 66 - Mai2008 [ 11 ] protégés», voire «très bien protégés» ° Les technologies d’authentification forte et de gestion des identités en retrait Suprématie des firewalls (97%), programmes d’anti-virus (92%), outils d’encryption (82%) et autres IDS/IPS (71%). En revanche, moins d’intérêt pour l’authentification forte -biométrie, token, etc. Niveau de pénétration: 34%. Précisons ici que l’attentisme des banques sur le sujet de l’authentification forte n’est pas propre à la place luxembourgeoise… mais au secteur financier en général. Or, les attaques de «phishing» (tentative de vol d’informations personnelles) sont bien réelles! Retard, également, au niveau de la gestion des identités. Le SSO (Single Sign-On) recueille à peine 16%. La technologie, il est vrai, s’intègre le plus souvent à un projet de sécurité plus étendu, dans lequel elle ne constitue qu’un élément secondaire, voire un simple bonus. La veille technologique? Une question de ressources! Gestion, analyse, suivi… La prévention des risques est aussi un investissement intellectuel. Telindus parle à raison de «veille technologique». Il apparaît que 58% des banques affirment mener une démarche de veille technologique, mais pas systématiquement. L’écart entre les banques qui mènent une démarche systématique et celles qui ne le font pas est très net si l’on tient compte de la taille: 50% pour les plus grandes, 29% pour les moyennes et 18% pour les plus petites. Menez-vous une politique de veille technologique en matière de sécurité? n Ne sait pas/N’a pas répondu n Non n Non, mais la démarche est envisagée n Oui, mais pas systématiquement n Oui, systématiquement De 1 à 49 employés De 50 à 249 employés 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Plus de 250 employés De 1 à 49 employés De 50 à 249 employés Plus de 250 employés Firewalls » « « Anti-virus sur stations de travail ∆ » « Anti-virus sur portails de messagerie « » ∆ Outils d’encryption » ∆ « IDS/IPS » « « Anti-spyware/ Anti-malware » « » Authentification forte » « » Firewalls individuels » ∆ « SSO » » « Les choix technologiques sont fonction de la taille de la banque
  • 5. Pleins feux sur la sécurité Telindus a présenté les résultats de son étude sur l’état de la sécurité de l’information au Luxembourg. Première étude sur la sécurité exclusivement dédiée au Grand-Duché de Luxembourg, ‘Benchmark 2007’ analyse l’état de la sécurité de l’information au sein de 51 banques et sociétés d’assurances. Lancée l’été dernier par Telindus PSF, l’étude s’adressait à plusieurs domaines de sécurité: physique, business continuity, conformité, standardisation, responsabilisation, etc. Avec cette première étude, Telindus PSF veut ainsi donner un angle local à la problématique de la sécurité et fournir des résultats utiles aux institutions publiques et aux responsables de la sécurité des systèmes d’information (RSSI). La société a également souhaité mettre l’accent sur la confidentialité des données. Ainsi, les réponses furent utilisées avec la confidentialité la plus complète, sans identifier directement ou indirectement les participants. Un élément important à prendre en compte alors que 80% des répondants de l’étude représentent le sec- teur bancaire, contre 20% pour les sociétés d’assurances, et que les RSSI doivent évaluer la sécurité de leurs systèmes… Lors de l’évaluation du degré de protection en termes de sécurité d’information, les RSSI ont répondu: très bonne (20%), bonne ou relativement bonne (75%) et mauvaise ou insuffisante (5%). En termes de budget alloué à la sécurité de l’information, 20% des répon- dants prédisent une augmentation majeure dans l’année à venir, 31% une augmentation, 41% que cela restera constant et 8% n’ont donné aucune réponse. Plus précisément, alors que les banques répondent en majo- rité (55%) que les investissements seront constants, les sociétés d’assurance y voient une augmentation très importante (38%) ou importante (46%). Seules 8% prédisent un investissement semblable à l’année précé- dente, ce qui induit une focalisation accrue pour ces sociétés. Enfin, 72% des répon- dants on un plan de business continuity en place et formalisé, tandis que 20% sont en cours, et 8% n’ont encore défini aucune stra- tégie en la matière. rÔlE(s) Du rssi De manière générale, les répondants esti- ment que le rôle du RSSI est bien défini et chapeaute même d’autres fonctions (32%). Cependant, 10% d’entre eux pensent que la responsabilisation du RSSI n’est pas assez claire tandis que 8% déclarent que cette problématique est en cours de résolu- tion. Le RSSI peut aussi prendre en charge d’autres fonctions, telles que l’IT, le risque opérationnel, la sécurité physique, l’audit et le management. En matière de risques, 15% des répondants estiment que le risk assess- ment est fait en fonction d’une méthodologie reconnue, tandis que dans 65% des cas, la méthode est inhouse. Dans 20% des cas, le risk assessment n’est soit pas encore défini, soit pas encore en projet. la CErtiFiCatioN, NoN prioritairE Telindus PSF a également comparé les systèmes d’information du secteur des ban- cassurances luxembourgeois aux standards internationaux ISO/IEC 27002 :2005. Selon l’étude de Telindus, 65% des répon- dants sont familiers avec ces standards, tandis qu’environ un tiers des personnes les connaissent peu ou pas du tout. Alors que 45% des sociétés sont en train d’implémen- ter les recommandations émises par ces standards, environ 55% ne comptent pas les développer, ou les ignorent. Enfin, seuls 10% des répondants vont suivre cette standardi- sation jusqu’à obtenir la certification. //// priorités pour l’aNNéE 2008 //// 1. Data confidentiality 2. a. Awareness-raising and training of the personnel b. Data backup c. Disaster recovery and business continuity plan 3. Information security policy 4. Network and remote access protection 5. Analysis of risks 6. Compliance with legal and regulatory aspects 7. a. Physical protection of equipment and data b. Rights, access and privilege control 8. Identification and classification of assets and definition of responsibilities 9. Information system monitoring, incident detection and response 10. Protection against viruses, malware, spyware and spam JUIN 08 73 BUSINESS DECISION MAKER ACTUAL-IT Sécurité