Compte-rendu 11 Juillet à Paris : les sujets de discussion

Document created by Leif Kremkow Employee on Jul 11, 2017Last modified by Leif Kremkow Employee on Aug 18, 2017
Version 2Show Document
  • View in full screen mode

Organisé par Qualys, nous avons eu le plaisir de réunir quelques RSSI autour d'un déjeuner qui a permis d'échanger et d'élargir les cercles.

 

Bien entendu le GDPR faisait parti des sujets sur lesquels nous devions échanger.  (voir également  Aix-en-Provence le 4 Mai, ou Sophia-Antipolis le 2 Juin).

 

"Mais ils s'en foutent!"

 

Le GDPR met toujours en lumière des réactions surprenantes. Et pourtant, cet avis aussi incongrue qu'il puisse paraître, se defend parfaitement.

 

Le comité exécutif et les métiers partent du principe que la sécurité de l'entreprise est déjà assurée. Que le risque soit juridique, fiscal, physique, ou informatique - les responsables ont pris les dispositions qui s'imposent pour protéger l'enterprise. Ainsi, les dangers que représenterait la GDPR seraient déjà pris en compte. Surtout que le GDPR n'est pas un vecteur de création de valeur, c'est un enjeu purement administratif.

 

Autre sujet à la mode : WannaCry. Comme lors de nos échanges à Sophia Antipolis le 2 Juin, les RSSI nous ont affirmé n'avoir été que peu impactés. Cela n'a pour autant pas empêché que des cellules de crises et des campagnes de patches aient été lancées en urgence.

 

Les patches n'ont plus besoin d'être autant qualifiés avant installation qu'auparavant. Les éditeurs, et notamment Microsoft, ont fait beaucoup de progrès. On peut à présent se permettre d'activer l'installation automatique sur les postes utilisateurs.

 

Ayant ainsi balayé le GDPR et WannaCry/Petya d'un revers de main, quels sont donc les vrais sujets qui tracassent les RSSI?

 

- À court terme: le phishing et le piratage des boites mails. Malgré les solutions techniques existantes (authentification forte), les habitudes des VIP sont difficile à changer. Un sujet soulevé il y a 2 ans dans Les Echos, reste toujours d'actualité. (Voir aussi IDECSI)

 

- À long terme : identity and access management (IAM).

 

Au final une seule chose intéresse les utilisateurs: pouvoir travailler. Ils cherchent naturellement à réduire toute source de nuisances, qu'elle soit légitime (le RSSI…) ou malveillante (le 31337 H4x0r…). Cependant, quand la nuisance est malveillante et illégitime, le RSSI devient très vite une ressource appréciée de l'utilisateur.

 

Malgré tout le savoir faire à disposition des entreprises, quelques sujets restent sans réponse. Comment patcher des systèmes industriels dont le constructeur vous interdit de patcher? Peut-être ils ont gracieusement donné suite à votre demande ce mois-ci (WannaCry, Petya, et cie.), mais maintenant il faut attendre 6 mois au moins pour avoir des nouvelles. 

 

Les systèmes d'informatiques industriels et les SCADA -qu'ils aient été installés par un constructeur qui contractuellement vous interdit les mises à jour ou le plombier du coin qui a su installer un VNC sur une console de surveillance- doivent rentrer dans la PSSI comme tous les autres composants du SI - dès lors qu'ils sont eux aussi vecteurs de risque informatique. Quoiqu'il en soit il faudra savoir faire le grand écart entre les fournisseurs et les prestataire. Entre ceux qui sont matures et ceux qui le sont moins, la sécurisation des équipements vulnérables reste bien difficile.

 

Un dernier rappel : tous les clients Qualys ont un Technical Account Manager (TAM) qui est leur dédié. Le TAM est votre contact et vous aidera  à utiliser et optimiser au mieux nos solutions.

 

Vous ne savez pas qui est votre TAM ? Adresser-nous un mail à  info-fr@qualys.com

 

Ce déjeuner s'inscrit dans une série de rencontres entre utilisateurs, organisé par Qualys. Voir l'agenda de 2017 pour davantage d'informations.

Attachments

    Outcomes