Thales : “Concentrons-nous sur les fondements de la sécurité IT et les applications métiers”

Cloud

Assises de la Sécurité : Le pôle cyber-défense du groupe d’électronique (défense, transports, aéronautique) préconise de restreindre le périmètre de sécurité IT à l’essentiel dans les infrastructures complexes et d’élargir progressivement la protection.

On parle souvent d’attaques de type APT (acronyme d’Advanced Persistent Threats en anglais) pour souligner le degré de sophistication.

Peut-être trop, estime Stanislas de Maupeou, Directeur en charge de la cyber-défense pour le compte de Thales.
“On cherche des choses très complexes alors que les fondations ne sont pas présentes…Cela fait mal au coeur de le dire encore en 2011.”

Selon cet expert en cyber-sécurité (ex-CERTA), les mots de passe d’administration des systèmes d’information demeurent souvent “triviaux” et les applications métiers continuent de tourner sous Windows NT4 (un ancien environnement OS serveur de Microsoft considéré comme vulnérable).

Lors d’un atelier sur le thème de la cyber-criminalité (une introduction à l’édition 2011 des Assises de la sécurité IT à Monaco), Stanislas de Maupeou  s’étonne encore de la “naiveté” persistante des responsables informatiques en termes de sécurité IT.

Il considère que l’on se focalise davantage sur les application Web aux dépens des applications métier. “Les DSI sont-elles documentées ? Qui les maintient ? Qui les met à jour ?”

Autre réflexion avancée : la sécurité représente bel et bien “un coût” (solutions, hommes).

“C’est un non-sens de penser que l’on va s’affranchir de personnes compétentes et expérimentées”, considère Stanislas de Mapeou. “L’analyse des logs demeure un outil essentiel…Il faut des personnes formées même si c’est un travail ingrat.”
La sécurité IT serait “un modèle à revoir” dans le sens de la prévention qui “apporterait de grands résultats”.

Compte tenu de la difficulté de superviser globalement des systèmes complexes, le “Mr Cyber-défense” de Thalès préconise “un périmètre plus restreint correspondant aux applications métiers critiques de l’entreprise” puis élargir progressivement le cercle de protection.

(lire la suite en page 2)


Lire la biographie de l´auteur  Masquer la biographie de l´auteur