Bonsoir à toutes et à tous nous avons le plaisir d’accueillir, le directeur technique de RSA, la division Sécurité d’EMC, Bernard Montel
Bonsoir et merci à 01net. de me recevoir sur ce chat.marianne : Selon vous, quelle est la proportion actuelle d’entreprises françaises incapables de garantir leur sécurité ? Par rapport au reste des entreprises dans le monde, sommes-nous ridicules ??
Nous ne sommes pas ridicules, mais je dirais que sur certains domaines beaucoup de progrès restent à faire. Nous rattrapons peu à peu notre retard. Dans la sécurité périmétrique (pare-feu, antivirus, etc.) la France est plutôt bien
équipée. Dans les solutions de protection de l’information de l’entreprise, l’authentification des utilisateurs ou la mise en place de politiques de sécurité liées aux bons usages, il y a encore de quoi faire.julie : Quelles sont les formes de malveillance les plus observées dans les attaques visant les entreprises ?
Deux catégories : interne et externe. Interne : fuite d’informations, utilisation non contrôlée des moyens informatiques mis à disposition des employés. Externe : attaque en ligne de type phishing
amélioré (nouvelles formes), visant non seulement les organismes financiers mais aussi les sites marchands.Chouffe : Est-ce que vos produits ne s’adressent qu’aux grosses entreprises ?
Nos produits s’adressent aussi bien aux très grandes entreprises, qu’aux PME. Tout dépend bien entendu du type de solution proposée.Bouleg : Vous proposez une solution de sécurité sur clé USB. Mais on sait que les clés USB peuvent être une faille de sécurité dans l’entreprise. On peut facilement les voler ou y intégrer un virus. C’est pas un non sens en
termes de sécurité ?
RSA propose en effet une clé USB qui est une carte à puce. Nous n’avons pas de solution directement liée au stockage de données sur clé. Dans cette carte à puce, on ne peut pas enregistrer de données de type fichiers ou autres comme dans
une clé USB classique. Elle est protégée par un code PIN (code secret), comme une carte de paiement, et se bloque au bout d’un certain nombre d’échecs à l’authentification.Chouffe : Tous le monde parle de Data Loss Prevention, mais qu’est-ce exactement ?
Ce domaine couvre à la fois des politiques de sécurité (audit, mise en ?”uvre de règles d’usage), mais également des solutions technologiques. L’objectif est de permettre aux entreprises de se prémunir de la perte d’informations sous
la forme de données (e-mails, fichiers, etc.).MANAus : Authentification forte, biométrie, quelles sont les stratégies à mettre en ?”uvre pour protéger les données de son entreprise ?
L’authentification forte doit aujourd’hui rentrer dans les habitudes et devient un point nécessaire à toute bonne politique de sécurité. Tant pour les nomades qu’à l’intérieur de l’entreprise. La protection des données passe par la
protection des accès à ces données. La biométrie n’est qu’une option parmi d’autres et peut poser problème pour un déploiement massif.loup : Ces stratégies sont-elles coûteuses ? Combien pour rester dans des fourchettes raisonnables selon vous ?
La mise en place d’une authentification forte, par exemple pour protéger l’accès à un site Web d’une entreprise, est aujourd’hui très aisée. Il faut d’abord identifier ce que l’on veut protéger, c’est la première étape et c’est la plus
coûteuse en temps. Les solutions technologiques sont matures et très rapides à mettre en ?”uvre.mp2 : Est-ce que la biométrie est vraiment le moyen de reconnaissance le plus fiable ? Blabla : Vu le turn over dans les entreprises, la sécurité par la biométrie n’est-elle pas
illusoire ?
La biométrie, comme toutes les technologies a ses faiblesses (on parle faux/positifs, taux d’erreur). Elle peut s’avérer coûteuse, car il faut gérer l’aspect humain de la prise d’empreintes, ainsi que l’enregistrement de celles-ci à grande
échelle pour une entreprise.Quedubonheur : L’open source, c’est l’avenir de la sécurité ? Des produits comme Spamassassin sont-ils de qualité ?
L’open source pose problème lorsqu’on a une faille de sécurité, car les entreprises se retournent alors vers la ‘ communauté ‘ pour poser des questions, et par là même exposer leur problème de
sécurité. Ce peut être une bonne alternative pour des applications d’un autre genre, mais pour la sécurité c’est plutôt dangereux. Très rares sont les entreprises qui de toutes les manières vont se hasarder à modifier le code source de leurs
‘ progiciels ‘.mcdy : Recommandez-vous VPN SSL ??
Le VPN SSL, qui permet d’accéder aux ressources de l’entreprise au travers d’un navigateur, est un très bon complément aux solutions de VPN dites classiques (IPsec), car elles permettent plus de mobilité. Elles doivent comme leur
‘ grand frère ‘ faire l’objet d’une authentification forte, sinon uniquement avec un mot de passe (que l’on peut ‘ craquer ‘) on atteint aisément les mêmes ressources de l’entreprise.Journaliste 01net. : Des chercheurs de l’université de Princeton viennent de démontrer qu’il est très facile de récupérer des clés de chiffrement au niveau de la mémoire vive. Est-ce à dire qu’aucun système
de chiffrement n’est fiable ?
Il ne faut pas que les clés soient montées en mémoire. C’est l’objet de l’utilisation de clés sur support cryptographique de type carte à puce ou token USB. Le calcul est fait sur le support (externe au PC).giggz : Quelles sont les nouvelles pistes explorées par les spécialistes comme vous pour améliorer la sécurité ?
La sécurité de la donnée sous toutes ses formes.Journaliste 01net. : Y a-t-il des activités ou des types d’entreprises qui sont plus sujets à des attaques que d’autres ?
Il y a deux catégories d’entreprises qui peuvent être très exposées, mais toutes le sont. La première catégorie regroupe celles qui sont très exposées ayant des services tournés vers l’extérieur (sur Internet par exemple). Par
exemple : les banques, les offres de services en ligne (voyagistes), le commerce en ligne. La deuxième catégorie représente les industries ou les institutions ayant des données ou informations sensibles : constructeurs industriels
(automobile, aéronautique…), Administrations…giggz : Le cryptage quantique : rêve ou réalité ?
Le cryptage quantique est aujourd’hui au stade du laboratoire. L’industrie n’est pas encore prête.Guest51 : Qu’en est-il du projet Shibboleth ????
Le projet Shibboleth est une solution universitaire de fédération d’identité. Ceci permet de véhiculer ou de partager un compte et/ou un profil utilisateur entre deux parties ou entités. Ce projet a rallié le consortium autour du protocole
SAML 2.0 qui est à ce jour celui rassemblant toutes les solutions de fédération d’identités.mamie : Monsieur, quel succès a rencontré votre offre vers les téléphones mobiles Symbian ? Bonne soirée.
On a une forte demande autour des solutions d’authentification sur téléphone quel que soit le système d’exploitation. Symbian, Blackberry ou Windows Mobile sont actuellement en forte progression.Blabla : Le phishing fait plus de mal aux particuliers qu’aux entreprises, non ?
Le mal fait aux entreprises est un problème lié à l’image de marque. Ceci est inquantifiable mais représente un coût souvent très important pour l’entreprise. L’utilisateur est également, bien entendu, concerné par la
‘ fiabilité ‘ du service qu’il utilise.mcdy : Bonsoir, d’après vous, les réseaux Wi-Fi dans les grandes villes (j’habite à Lyon) sont-ils suffisamment sécurisés ? Il y a des progrès a ce niveau là ?
Nous avons réalisé une étude sur les grandes villes (Paris, Londres et New York) sur les réseaux Wi-Fi d’entreprise. On peut noter une certaine amélioration sur la protection des réseaux et surtout sur la manière dont ils sont déployés.
Les protocoles, quant à eux, sont aujourd’hui fiables. A nouveau, pour les réseaux personnels, il faut les utiliser correctement.albertito : Avec le scandale de la Société générale, il y a moins d’un mois, que dire des systèmes de sécurité ? Sont-ils aussi performants qu’annoncés ? Peut-on y voir une faille pour d’éventuels pirates ?
Nous ne connaissons pas en détail ce qui fut le problème lié à la Société générale, mais d’une manière générale la sécurité des systèmes à l’intérieur de l’entreprise reste à améliorer.albertito : Bonsoir, l’avenir du RSA est-il assuré face aux nouvelles techniques de hacking ? Et pour combien de temps encore ? Merci.
La dernière attaque en date (écoute au niveau du processeur cryptographique) n’a pas remis en cause l’algorithme lui-même. La longueur des clés restera à augmenter au fil du temps, mais les puissances de calcul nous le permettent.Quedubonheur : Que pensez-vous des Google Apps de sécurité ? Ca n’est pas cher et Postini est une boîte sérieuse, ça m’a l’air très, très intéressant…
C’est un bon complément aux offres que nous proposons par exemple autour de notre suite DLP (partie messagerie).behar : Quels sont les projets de développement futurs de RSA ?
Renforcer notre présence dans l’authentification forte en enrichissant notre offre de nouveaux formats. Développer fortement tous les aspects liés à la protection de la donnée et l’audit de sécurité en lien également avec les solutions de
gestion de la donnée de chez EMC.Merci Bernard Montel. Le mot de la fin ?
Les entreprises de toutes les tailles sont concernées par la mise en ?”uvre de solutions de sécurité. La France progresse très vite depuis les deux dernières années, et doit combler son retard. Merci à tous pour votre participation
et merci encore à 01net. de nous avoir permis de faire ce chat avec vous.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.