La Lettre Sécurité. ISO : un nouvel élan pour la continuité d activité. Édito. n 26

Transcription

1 n 26 La Lettre Sécurité Édito Du décryptage des nouvelles tendances Dans notre société d innovation, pas un mois ne passe sans apporter son lot de nouveautés technologiques et d usages. Le secteur IT impose de comprendre ces tendances - car nul doute que certaines d entre elles deviendront des évolutions à accompagner. La récente actualité a en ce sens été riche ; il nous a semblé intéressant de revenir sur les buzzwords qui agitent et agiteront le monde de la sécurité et de la gestion des risques dans les mois à venir. En premier lieu, saluons la naissance de la norme ISO qui met en avant le concept de système de management de la continuité continuité et s inscrit dans les meilleures pratiques de gouvernance. Autres tendances, autres enjeux : le Big data et la protection de l information, la gamification ou l application des principes du jeu pour mieux sensibiliser et finalement le Recovery-as-a-service permettant l usage du cloud pour construire son PCA de manière plus souple et plus rentable. Le sujet de la dématérialisation revient également sur le devant de la scène avec une volonté européenne de le promouvoir à grande échelle. En attendant de savoir lequel de ces sujets fera votre actualité, nous vous souhaitons un bon été! Gérôme BILLOIS Manager au sein de la practice Sécurité & risk management, cabinet Solucom ISO : un nouvel élan pour la continuité d activité La norme ISO «Sécurité sociétale - État de préparation et systèmes de gestion de la continuité - Exigences» a été publiée le 5 juin Elle était très attendue par les responsables de la continuité d activité et les risk managers. Il existe déjà de nombreux standards édités par des organismes nationaux sur le sujet de la continuité (BPZ 74/700 de l AFNOR en France, NFPA 1600 aux États-Unis, etc.), mais l ISO est le nouveau et seul standard international en la matière. S aligner sur ses recommandations, c est inscrire les Plans de Continuité d Activité (PCA) dans un véritable cycle de vie, et réussir, audelà de l avancement des actions relatives à sa construction, son maintien en condition opérationnelle! Une norme nécessaire pour appuyer les investissements liés à la mise en place d un PCA? La norme met en lumière les bonnes pratiques des PCA mais surtout elle les rend cohérentes les unes par rapport aux autres et elle les légitime grâce à son coté international. Par exemple, l un des points structurants de la norme est de saisir les besoins de l organisation par la conduite d un Bilan d Impact sur l Activité ou Business Impact Analysis (BIA). Cette étape consiste en l identification des activités clés, l analyse de l impact d une indisponibilité, et donc la priorisation des efforts à mener pour se focaliser sur les véritables enjeux, ceux définis par le Top Management. Par ailleurs, l analyse de risques, telle que requise par le standard, permet de s interroger sur les risques à traiter et de mobiliser le management autour de menaces réelles. Quels risques doivent être couverts, et lesquels sont acceptables ou évitables? Quels sont les dispositifs existants, et quelles mutualisations de solutions peuvent être envisagées? Ces éléments doivent être validés par le management. Si les BIA ont généralement déjà été effectués dans les organisations, la réflexion autour des risques est la nouveauté principale que peut apporter la norme dans la façon d aborder les PCA. Ceux-ci traitent aujourd hui quelques catégories de sinistres majeurs (incendie, inondation, panne électrique, etc.), mais comment peuvent-ils être utilisés pour traiter de nouveaux risques? Un exemple? Les cyberattaques doivent-elles être considérées dans le cadre d un PCA? Les synergies sont en effet nombreuses : processus de gestion de crise, communication, etc. Suite en page 2 DÉCRYPTAGES P3 La gamification : une solution pour sensibiliser la génération Y? P5 Recovery-as-a-service : une révolution pour le secours informatique?

2 Décryptage Mais c est aussi un risque dont le traitement dépasse la problématique de la continuité. BIA et analyse de risques sont donc des exercices d argumentation des coûts qui doivent être vus également comme un axe d optimisation des investissements! Une fois ces investissements consentis par le Management, l enjeu est d en prouver l efficacité Inscrire le PCA dans la durée... Le cœur de la norme consiste à mettre en place un Système de Management de la Continuité d Activité, le fameux SMCA. Il s agit d évaluer régulièrement les dispositifs en place pour les faire progresser au quotidien. Il s agit de répondre à la question «les processus sont-ils fonctionnels et sont-ils efficace?». La norme est bien explicite sur ce point, l évaluation de la performance doit porter sur «la pertinence, l adéquation, et l efficacité» des procédures du PCA.... jusqu à la certification? L alignement peut aisément s imposer comme une évidence pour tout responsable des risques ou de la continuité d activité. En effet, il offre ainsi la garantie d appliquer les bonnes pratiques internationales et par là même valide un certain niveau de qualité. L émergence de cette nouvelle norme ISO amène une reconnaissance internationale au SMCA, et pourra ainsi susciter un intérêt pour la certification. Certifier un périmètre opportun peut être un élément différenciant sur le marché lorsque la continuité est un argument marketing fort tel que pour les fournisseurs de services IT. Et pour les organisations soumises à une réglementation, cette certification peut prouver de manière formelle la réponse aux obligations en vigueur. Un des axes de mesure est la conduite des tests et exercices. Cette bonne pratique est d ailleurs d ores et déjà intégrée aux dispositifs mis en œuvre dans le cadre des PCA. Mais au-delà de l analyse des exercices et des plans de tests, s aligner à la norme nécessite de s interroger sur les revues à conduire, d analyser les incidents et d évaluer la performance des solutions. Ainsi la norme motive la mise en place des principes qui permettent d argumenter, mais aussi de pérenniser les investissements réalisés autour des PCA, en cherchant une amélioration continue de son efficience. Amal Boutayeb, consultante senior amal.boutayeb@solucom.fr 2 La Lettre Sécurité N 26 Juillet 2012

3 La gamification : une solution pour sensibiliser la génération Y? Marion Couturier, consultante senior marion.couturier@solucom.fr La sensibilisation des utilisateurs est un chantier incontournable du RSSI : sans l adhésion et la collaboration des utilisateurs, les stratégies de sécurisation de l information et des SI restent partielles et inefficaces. Les campagnes de sensibilisation, qui constituent un moyen essentiel pour traiter ce facteur humain, sont donc aujourd hui largement répandues en entreprise. Mais elles souffrent d un certain nombre de limites! Un nouvel enjeu pour la sensibilisation à la sécurité de l information : la génération Y pousse la porte des entreprises La sensibilisation n est pas un chantier sur lequel on peut se reposer une fois la première campagne achevée! Comme toute campagne de prévention, des «piqûres de rappel» doivent être faites régulièrement, en variant la manière de communiquer pour assurer l assimilation des messages dans la durée sans provoquer de lassitude. leur vie personnelle. Leurs usages exposent largement les informations qu ils manipulent : données personnelles, mais aussi professionnelles! Et selon le Connected World Technology report de Cisco, 70% des jeunes employés admettent ne pas respecter les politiques de sécurité bien qu ils en aient connaissance. Plus exigeants que les générations X et baby-boomers, ils sont moins réceptifs à des campagnes de communication traditionnelles que leur aînés sur des sujets avec lesquels ils se sentent familiers et ont encore plus besoin d être convaincus et motivés. La gamification pour renforcer l engagement et la motivation des collaborateurs Face à ce nouvel enjeu, il est nécessaire de diversifier les méthodes et outils de sensibilisation pour assurer leur efficacité. La gamification, phénomène récent, apparaît comme un nouvel outil prometteur pour laquelle de plus en plus d éditeurs (Bunchball, Badgeville, Gamify ) proposent des solutions. Elle a pour principe l application des mécanismes et de la dynamique du jeu à des activités non ludiques : points, niveaux, badges, challenges, statuts sont utilisés pour engager les gens, déclencher la motivation et changer les comportements (par exemple dans le domaine de la protection des données) Initialement utilisée auprès des clients à des fins marketing (Flying Blue, Accor, Starbucks ) ou communautaires (Foursquare, Farmville, Nike+ ), elle peut se transposer aisément au monde de l entreprise et être un outil puissant pour accompagner les campagnes de sensibilisation, conduire le changement ou encore améliorer les performances. Cette technique rencontre un vif succès auprès de la génération Y aux codes de laquelle elle répond par ses dimensions sociale, ludique et technologique. Lancer le challenge sécurité! Il n y a plus qu un pas à faire pour l adapter à la sécurité de l information en entreprise. En premier lieu, il s agit de cibler les utilisateurs et de définir les objectifs. Sur cette base, les compétences (savoir construire un mot de passe complexe ) et actions attendues (changer son mot de passe, suivre une formation, etc.) peuvent être formalisées avant de définir l univers et les mécanismes de jeu qui seront appliqués. C est là que résidera toute la dynamique de la démarche et l adhésion des utilisateurs, il est donc nécessaire de travailler soigneusement cette partie, pour laquelle les solutions du marché offrent de nombreuses possibilités! Par ailleurs, il est nécessaire de prendre en compte les nouveaux arrivants dans l entreprise, qui n ont pas reçu la sensibilisation initiale. Et il ne faut pas oublier que ces nouveaux arrivants sont majoritairement une population avec laquelle le niveau de risque pour la sécurité de l information augmente : la fameuse génération Y. Les digital natives, suréquipés, connectés en permanence, rendent de plus en plus perméable la frontière entre l entreprise et Juillet 2012 La Lettre Sécurité N 26 3

4 Dossier Décryptage Big data : se préparer pour éviter le «Big One» Gérôme Billois, manager gerome.billois@solucom.fr Le «big One», c est le tremblement de terre tant redouté par la Californie, une catastrophe majeure qui mettrait à genou un État entier, et par rebond toucherait gravement les États-Unis en impactant son moteur d innovation et de productivité. Qu est ce que le Big data? Le Big data, c est la centralisation de l ensemble des données d une entreprise pour permettre la réalisation d analyses croisées poussées et multiples. Les métiers raffolent de ces concepts, qui ne sont pas si nouveaux, si l on se rappelle des années Business intelligence. Le Big data est donc une évolution de ces solutions et permet d aller plus loin, avec plus de données et de capacité d analyse, plus de rapidité et de simplicité d accès. De par leur rôle stratégique, central dans la prise de décision et pour l innovation, les données et les systèmes composant le Big data doivent être fortement protégés pour éviter le «Big One», l incident qui mettrait à terre le système et par conséquent aurait des impacts forts sur toute l entreprise! Au-delà du projet de transformation globale que représente l adoption du Big data, trois challenges s ouvrent aujourd hui pour la DSI, afin d éviter potentiellement ce «Big One» et tirer le maximum de cette innovation : adaptation, protection, et conformité. Adapter son SI, mais aussi ses équipes Le Big data change radicalement les habitudes de travail de la DSI. Les volumes incroyables de données manipulées nécessitent l emploi de technologies encore peu répandues (Hadoop, NoSQL ) et entraînent la refonte de nombreuses infrastructures de la DSI : réseau, hébergement, sauvegarde, etc. pour supporter la mise à l échelle du Big data. L erreur serait d en faire un chantier exclusivement technologique et de négliger l aspect organisationnel : les équipes de la DSI doivent accompagner ce mouvement afin d assurer la qualité de service et la disponibilité attendue pour ces systèmes clés. La centralisation des données : un risque supplémentaire? Le Big data c est aussi le nouvel eldorado de la fuite d information. Ce système a pour ambition de contenir en un seul lieu de stockage l ensemble des données stratégiques de l entreprise. Un atout pour l entreprise qui peut aussi être une faiblesse : centraliser ses données, cela revient d une certaine manière à en simplifier la localisation. Voilà qui intéresse forcément des groupes malveillants ou agissant pour des raisons idéologiques, tels que les Anonymous ou Wikileaks. La sécurisation et le contrôle des accès aux données est un vrai enjeu du Big data. Données sensibles : anticiper les contraintes réglementaires Conformité, car le Big data va contenir des données sensibles soumises à de nombreuses réglementations, par exemple dans le secteur bancaire ou la santé ou encore des données à caractère personnel. Des engagements clairs devront être pris pour éviter l effet Big Brother vis-à-vis du grand public et obtenir l aval des autorités de contrôle lors de la création de la base. Des mécanismes d isolation de données devront être mis en œuvre pour respecter les principes de séparation des pouvoirs et éviter tous les abus possibles. Ceci dès la mise en place, mais aussi lors des évolutions du Big data pour éviter toute interdiction du service ou fraude potentielle. L arrivée du «Goliath des données» doit donc être préparée, anticipée, avec une stratégie claire centrée avant tout sur les objectifs métiers, mais sans oublier les enjeux pour la DSI. Le Business intelligence a ouvert la voie, il s agit maintenant de se mettre en ordre de marche pour changer de dimension et embrasser au mieux les innovations du Big data! 4 La Lettre Sécurité N 26 Juillet 2012

5 Décryptage Recovery-as-a-Service (RaaS) : une révolution pour le secours informatique? Quel est l intérêt de passer au RaaS? L utilisation du RaaS résulte avant tout d un choix économique. Sur le papier, le secours paraît adapté au modèle de facturation du cloud (pas de sinistre => allocation limitée de ressources => coût d utilisation réduit), alors qu un secours traditionnel implique de stocker, héberger et faire évoluer des infrastructures, des serveurs et des applications sur un site de secours. Néanmoins, deux cas d usage du RaaS émergent pour les organisations concernées : la couverture des applications virtualisées ou éligibles à la virtualisation à coût optimisé, l extension du secours à des périmètres qui n auraient pas pu être intégrés au Plan de Continuité Informatique (PCI) de l organisation, pour une meilleure couverture au meilleur coût. Mickaël Avoledo, consultant mickael.avoledo@solucom.fr Non contents d avoir déjà décliné une bonne partie des lettres de l alphabet à la sauce «As a Service», les fournisseurs de service en ont trouvé un nouveau : le Recovery-asa-Service ou RaaS 1. Arrivées fin 2009 aux États-Unis par le biais de startups, les offres RaaS y sont désormais proposées par les principaux acteurs de la continuité informatique, Sungard Availability Services et IBM BC&RS en tête. Alors le RaaS, révolution ou pas? Le RaaS : fer de lance des Cloud Recovery Services Comme pour beaucoup de ce qui tourne autour du cloud, il est parfois difficile de donner une définition, tant une même appellation peut cacher des offres différentes. Nous utiliserons la définition suivante : «Cloud Recovery Service : secours d un système d information sur une infrastructure virtualisée, hébergée par un tiers, disponible à la demande et facturée à l utilisation». L éventail des possibilités est très large : d une sauvegarde externalisée des données critiques en mode cloud (Backupas-a-Service) en passant par la construction par le client lui-même de son secours sur la base d une prestation de type «IaaS 2» jusqu à une offre complètement managée intégrant le suivi du SI nominal et des mécanismes de bascule planifiés. C est ce type de prestations que l on retrouve sous l appellation Recovery-as-a-Service. Mais à y regarder de plus près, les économies ne sont pas toujours au rendez-vous et varient en fonction des applications. Si certaines d entre elles, peu consommatrices de données, sont les candidates idéales pour le RaaS (des études indépendantes font état d environ 80% d économies 3 ), le ROI pour les applications plus lourdes et / ou pour lesquelles les exigences de continuité sont plus fortes s avère discutable. En effet, plus les RTO (Recovery Time Objectives) et RPO (Recovery Point Objectives) seront exigeants, plus le niveau de service devra être élevé (allocation renforcée de ressources, mécanismes de réplication des données site-àsite, etc.) entraînant une envolée des coûts. Le RaaS s assimile, pour l instant, au mieux à du warm recovery. En effet, il est illusoire de penser que les solutions proposées permettront de la haute-disponibilité : délais d activation, délais relatifs aux opérations de bascule notamment au niveau du réseau, délais de restauration en cas de corruption des données, etc. En outre, le RaaS repose sur des mécanismes de virtualisation de serveurs (le plus souvent restreints aux architectures Intel x86), que ne supportent pas tous les progiciels du marché, a fortiori les applications propriétaires. Ainsi, le fait de vouloir tirer pleinement parti de la compétitivité économique du RaaS tout en répondant aux besoins métiers réduit son utilisation à une certaine catégorie d applications. Ce faisant, il cantonne le RaaS à un rôle de solution complémentaire, ce qui peut devenir une source de complexité, du fait de la cohabitation de deux SI de secours. A qui s adressent les offres RaaS? Étant donné son modèle économique et sa structure technique, le RaaS semble plus adapté aux moyennes structures et notamment à celles qui ont opéré la virtualisation de leur SI. Les études prospectives 4 le montrent : ce sont elles qui tireront la croissance de ce marché dans les prochaines années. Le RaaS : une offre mature? Comme pour nombre de cloud services, le RaaS n a pas encore atteint sa maturité : en témoigne le foisonnement des offres et des prestataires. Au-delà des acteurs historiques de la continuité informatique se positionnent des pure players des cloud recovery services et de plus en plus des hébergeurs informatiques. En termes de couverture de risques, il doit faire ses preuves. Concrètement les infrastructures dévolues au RaaS reposent sur encore peu de datacenters. Le client qui souhaitera se prémunir de sinistres affectant des zones géographiques particulières (ou étendues) devra se rapprocher du fournisseur de service RaaS qui l intéresse pour vérifier que son ou ses sites ne sont pas exposés aux mêmes risques. En France, le marché reste jeune et sans retour d expérience significatif de déploiement. Les grands offreurs français s appuient sur les infrastructures anglo-saxonnes ou nord-américaines de leur maison-mère. Reste donc aux acteurs à démontrer la pertinence de leurs offres, en particulier sur la gamme des services managés, probablement les plus recherchés par les DSI. 1 On rencontre également l acronyme DRaaS (Disaster Recovery-as-a-Service) 2 IaaS : Infrastructure-as-a-Service 3 Disaster Recovery as a Cloud Service : Economic Benefits & Deployment Challenges 4 «Gartner Says 30 Percent of Midsize Companies Will Use Recovery-as-a-Service by 2014» Juillet 2012 La Lettre Sécurité N 26 5

6 Décryptage Dématérialisation : vers une gestion sécurisée de la preuve numérique? Johan Le Billan, consultant johan.lebillan@solucom.fr La confiance numérique continue à faire parler d elle et s invite à la Commission Européenne. En effet, l Union Européenne a récemment décider d harmoniser ses pratiques en matière de signature électronique par la mise en place de cross-border signature. Si la signature électronique conquiert peu à peu ses lettres de noblesse, les tenants et aboutissants d un de ses usages clés, l archivage à valeur probante, sont encore à éclairer. Aujourd hui, la dématérialisation des documents et des processus est ancrée dans les projets de transformation des SI et représente une véritable priorité pour les DSI. L archivage électronique à valeur probante ou «légal» se distingue de l archivage «classique» par sa capacité à authentifier de manière absolue des documents. Il permet d utiliser ces documents nativement numériques comme preuves dans le cadre de procédures pénales ou administratives. Mais à quels besoins de sécurité répond la mise en place d un tel système d archivage? Quelles sont les réponses techniques pour construire cette gestion de la preuve numérique? Deux piliers de l archivage : garantir la pérennité et l intégrité des données de l entreprise Encadré par le Code civil et le Code du commerce, l archivage des documents est un devoir pour les entreprises françaises. Pour respecter le droit à l oubli imposé par la CNIL, la durée de conservation des documents est limitée dans le temps et varie en fonction de leurs valeurs administratives. Confronté à ces longues durées, il est donc nécessaire de conserver ces documents sous un format pérenne (XML, PDF/A, etc.) dans un Système d Archivage Électronique (SAE). Durant toute la durée de conservation, le SAE doit également garantir l intégrité des documents par un stockage fidèle, sans altération ni destruction (ou modification) possible. Vous l avez compris, c est la signature électronique qui permet de répondre à ce besoin. Signature électronique et horodatage deux réponses techniques à la gestion de la preuve numérique L article 1316 du Code civil (13/03/2000) stipule que «l écrit sous forme électronique est admis en preuve au même titre que l écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane». Pour répondre à ces besoins d authenticité et de traçabilité, les solutions techniques retenues par les SAE à valeur probante sont respectivement : la signature électronique, préférée à un stockage sur support physique WORM (Write Once Read Many) ; l utilisation de contremarques de temps signées : les jetons d horodatage. L archivage d un document dans ces SAE consiste donc à signer électroniquement ce document d une part et d y apposer un jeton d horodatage d autre part. Ainsi, la signature permet de garantir l intégrité du document mais aussi l identité de la personne ayant réalisé l ar chivage. Le jeton, quant à lui, permet d attester la date à laquelle a eu lieu l archivage. Un cadre normatif : la NF Z La norme NFZ est le référentiel pour tous acteurs du marché, intégrateurs comme fournisseurs en mode SaaS. Cette dernière, très contraignante, spécifie les mesures techniques et organisationnelles à respecter pour concevoir et mettre à disposition un SAE à valeur probante. Cette norme met notamment en exergue la méthodologie à suivre pour un projet : de la création d une politique d archivage aux réponses techniques. En France, les solutions du marché des SAE à valeur probante sont arrivées à maturité et les projets d archivage sont florissants depuis Catalysés par les institutions publiques qui montrent l exemple et le boom de la dématérialisation, le secteur privé a emboité le pas permettant ainsi de se conformer au cadre réglementaire en vigueur, mais aussi d optimiser leurs processus et de réaliser des économies. Ce respect du cadre réglementaire, à l échelle nationale (et bientôt à l échelle européenne?) n est pas le seul facteur clé de réussite d un projet d archivage. Il est tout aussi crucial d impliquer les responsables métiers dès la ligne de départ et d anticiper la peur du changement utilisateurs lors de la prise en main de l outil. Une fois ces éléments en tête, il ne reste plus qu à se lancer. 6 La Lettre Sécurité N 26 Juillet 2012

7 Témoignage Quelle perception du risque dans la société? Patrick Peretti - Wattel Sociologue du risque, INSERM Agrégé en sciences sociales, Patrick Peretti- Watel est docteur en sociologie du risque et statisticien. Il a écrit de nombreux ouvrages sur le risque dans la société et a présenté, lors de l Atelier Solucom, son point de vue sur cette thématique au cœur de nos préoccupations. Dans un monde moins dangereux mais plus risqué, quel comportement adoptet-on face au risque? Alors que notre monde est de moins en moins dangereux, nous avons aujourd hui le sentiment de vivre dans un monde de plus en plus risqué. Risques alimentaires, écologiques, technologiques, financiers, métiers à risques, populations à risques, etc. Le risque est omniprésent et sans cesse mis sur le devant de la scène médiatique. Pour paraphraser le philosophe François Ewald, rien n est en soi un risque, mais tout peut en devenir un. Le risque est plus une façon d appréhender le réel, associée à une volonté de maîtriser l avenir. Cette «mise en risque» progressive du monde est justement ce qui caractérise l histoire du 20 ème siècle. Erving Goffman, sociologue américain, remarquait que les hommes, comme les animaux, oscillent en permanence entre deux états d activité, la veille et l alarme, passant de l un à l autre lorsqu un signal attire leur attention sur un danger dans leur environnement. Pour lui, certains individus sont plus sensibles que d autres à ces signaux et plus prompts à réagir. On pourrait dire que l homme moderne possède les aptitudes perceptives d une biche, toujours prête à s effrayer, mais la réactivité d une vache, lente à se mobiliser. Évidemment, ce décalage est anxiogène! Pourquoi les hommes ressentent-ils le besoin d atteindre le risque zéro? La «mise en risque» progressive du monde a été au 20 ème siècle corrélative d une nouvelle utopie : celle du risque zéro. L expansion continue du risque est portée par un espoir qui peut sembler rétrospectivement un peu naïf : on a longtemps pensé que la science, grâce aux techniques du risque, allait parvenir à éradiquer certains dangers pour nous garantir une sécurité totale. Cependant, les experts ont dû admettre que le risque nul n existe pas, que certains risques sont rémanents, que d autres sont concurrents, et que la réduction des uns peut renforcer les autres. Ces dernières décennies ont également été marquées par ce que l on appelle le principe de précaution qui, dans une certaine mesure, marque une forme de retour à l utopie du risque zéro. Ce principe implique que «l absence de certitudes, compte tenu des connaissances scientifiques et techniques du moment, ne doit pas retarder l adoption de mesures effectives et proportionnées visant à prévenir un risque de dommages graves et irréversibles à l environnement à un coût économiquement acceptable». Aujourd hui est fait un usage galvaudé de ce principe de précaution, ce dernier se transformant en principe d abstention. Il est invoqué à tort et à travers, passe outre les garde-fous posés par la loi, qui fait seulement mention des risques «graves et irréversibles» et n envisage que des mesures «proportionnées», à un coût «économiquement acceptable». Sans ces restrictions de bon sens, ce principe conduit à toujours envisager le pire, et à payer très cher pour viser un «risque zéro» hors d atteinte. Pourquoi le risque zéro est-il utopique et incongru? L intrusion du facteur humain est une des explications de l échec de l utopie du risque zéro. Selon la théorie du risque homéostatique, les individus ne recherchent pas forcément le risque zéro, ils sont même prêts à s exposer à un certain niveau de risque qu ils jugent «acceptable», pour en retirer un bénéfice. Plus généralement, les experts de la sécurité ont souvent tendance à se focaliser sur le risque qu ils ont à gérer, et peinent à se rendre compte que les individus qui sont exposés à ce risque peuvent très bien avoir d autres contraintes, d autres risques. Par ailleurs, ces experts doivent prendre en compte le phénomène de déni du risque qui peut être redoutable. Le déni du risque s appuie souvent sur une stratégie de «bouc émissaire», qui consiste à mettre un risque à distance en estimant que ce risque ne concerne qu une catégorie d individus bien particulière, à laquelle on n appartient pas soi-même. Aujourd hui, la gestion d un risque, dans la société comme au sein d une entreprise, implique au moins deux dimensions interdépendantes. D abord une dimension technique, qui doit déterminer les coûts et les bénéfices attendus, ainsi que le degré d acceptabilité du risque. Ensuite une dimension humaine, qui implique un dialogue avec les personnes concernées, et en particulier, au sein d une entreprise, avec les salariés, avec les métiers, pour que leurs points de vue, leurs besoins et leurs objectifs propres soient pris en compte. Juillet 2012 La Lettre Sécurité N 26 7

8 L actualité Solucom Événements Actualités Solucom OSSIR (11 septembre 2011) Les imprimantes sont un vecteur de risque peu connu et peuvent, outre l atteinte à la confidentialité, permettre à un attaquant dans certains cas de compromettre le SI de l entreprise. La conférence abordera les failles les plus connues de ces systèmes (capture d information, rejeu, accès réseau, rebond, etc.) et les différentes manières de les corriger (impression authentifiée, configuration avancée, protection contre les attaques physiques,etc.). Présentation par Ary KOKOS et Vincent NGUYEN Plus d informations : Assises de la Sécurité - SecApp : réussir la transition vers la sécurité applicative (4 octobre 2012) La sécurité applicative est au centre des nouvelles menaces et des intrusions récentes. Les équipes sécurité, historiquement centrées sur la protection des infrastructures, sont souvent éloignées des problématiques des études, des chefs de projet applicatifs et des développeurs. Les initiatives de sécurisation se multiplient (méthodes de développement, gestion des identités, analyses de risques projets, web application firewall, chiffrement des bases, tests et recettes, etc.) mais montrent rapidement leurs limites du fait de cette distance et des incompréhensions qui en découlent. Comment alors réussir la transition vers une sécurité applicative réelle et efficace? Quelle organisation mettre en place et où la rattacher? Comment l outiller? Ce que nous pouvons d ores et déjà affirmer : 2013 sera l année de la sécurité applicative! Cet atelier sera l occasion de revenir sur les enjeux de la sécurité applicative, sa concrétisation dans les DSI et avec les métiers et de projeter les évolutions d organisation nécessaires. 2011/12, des résultats annuels conformes aux objectifs Le retour à la croissance des effectifs en cours d année et l intensification de l effort commercial ont permis au cabinet de terminer l exercice en croissance organique soutenue et de compenser ainsi le recul de 4% de l activité au 1 er semestre. Sur l ensemble de l année, le chiffre d affaires s est ainsi établi à 108,1 millions d euros, stable par rapport à l exercice précédent. Les effectifs au 31 mars sont de 992 collaborateurs. Présentation par Gérôme BILLOIS et Matthieu GARIN Plus d informations : Directeur de la publication : Patrick Hirigoyen Responsable de la rédaction : Frédéric Goux Contributeurs : Mickaël Avoledo, Gérôme Billois, Amal Boutayeb, Marion Couturier, Johan Le Billan, Patrick Peretti-Watel. Photographies : Getty images Fotolia Graphiques : Solucom Conception graphique : les enfants gâtés Impression : Axiom Graphics ISSN La Lettre Sécurité revue de la practice Sécurité & risk management du cabinet Solucom Tour Franklin, terrasse Boieldieu La Défense Paris - La Défense solucom@solucom.fr abonnement : lettresecurite@solucom.fr