1. «Chaque employé constitue une brique dans
le bouclier contre les hackers», explique
Daniel Soriano, Sales Department Manager,
Consulting & Engineering Services chez
Telindus. «Les entreprises veulent utiliser
des solutions pour diminuer le risque posé
par le facteur humain, explique Jean-Pierre
Henderyckx, Department Manager, Network
&SecuritySolutions,Consulting&Saleschez
Telindus. Il faut agir en amont du réseau pour
protéger correctement les outils et scanner
le matériel avant de l’intégrer au système
interne. Nous devons, progressivement,
mettre ensemble les Unified Communica -
tions et la sécurité.»
TESTS ET DÉ TE C TIONS
BOOST É S
«Au niveau des applications, parfois, la
fonctionnalité de l’application prime sur les
contrôles sécurité implémentés, explique
DanielSoriano.Denouvellestechniquesper-
mettent aujourd’hui d’analyser entièrement,
d’un point de vue sécurité, le code source
de ces applications, afin de détecter les me-
naces présentes.» Il est tout aussi probable
de détecter des erreurs de programmation
(bugs permettant un buffer overflow,…) que
des menaces plus ou moins volontaires
(chevaux de Troie, backdoors,…). «La revue
de code sécurisé présente un bon complé-
ment au test d’intrusion, explique Daniel
Soriano. Elle peut être lancée alors que le
développement n’est pas encore finalisé et
mettre en évidence des éléments imper -
ceptibles de l’extérieur.» La CSSF préconise
quelessiteswebtransactionnelssoienttes -
tés après chaque mise à jour majeure. «Par
rapport à la norme IS O/IEC 27001:2005, le
Luxembourg est un peu en retard par rap -
port à d’autres pays, dit Daniel Soriano. À
l’heure actuelle, une seule entreprise est
certifiée ISO 27001… alors que plus de 200
entreprises ont décroché l’IS O 9000, qui
date, il est vrai, de 1987.»
PAT C HER « À LA VOL É E »
Enfin, la multiplicité et la diversité des appli-
cations présentes dans les environnements
physiques et virtuels rendent difficile, voir
impossible, l’application de la totalité des
patchs sécurité proposés par les éditeurs.
«Il existe des solutions innovantes IPP (Inline
Patch Proxy) permettant de patcher les flux
‘à la volée’ et donc de pouvoir consolider les
fenêtres de maintenance sur des cycles plus
espacés», indique Jean-Pierre Henderyckx.
Jeu, set et patch
Après huit ans de tests d’intrusion et la mise en place de
nombreuses infrastructures sécurité, Telindus constate que les
entreprises luxembourgeoises sont généralement bien protégées
contre les agressions externes.
Jusqu’à présent, trop de budget sécurité a été consacré aux réseaux et aux
systèmes, et trop peu pour enrayer les menaces dues au facteur humain. Se-
lon Telindus, citant Gartner, 80 % des entreprises subiront des attaques au ni-
veau applicatif en 2009. Les tests d’intrusion et d’ingénierie sociale menés par
l’intégrateur vont dans le même sens : les risques sont moindres de voir les
menaces entrer par le biais du réseau. Pour augmenter le niveau de sécurité
de ses clients, Telindus place les priorités à deux niveaux : les individus et les
applications.
TEC HNICA L D EVELOPMENT MANAGER
38 AVRIL 08
LEGRANDDOSSIER
Sécurité
2. Daniel Soriano, Sales Department Manager
Consulting & Engineering Services chez Telindus
AVRIL 08 39
3. BUSINESS Trends∆
[ 10 ] Soluxions 66 - Mai2008
Les banquiers luxembourgeois s’estiment «bien
° La confiance? Un rapport direct avec la taille de
l’organisation
Seulement 18% des petites banques s’estiment «très
bien protégées». En revanche, 30% des grandes
organisations estiment l’être. Le niveau de confiance
serait donc proportionnel à la taille, exprimée par le
nombre d’employés, indice en rapport avec l’importance
des ressources qui peuvent être allouées à l’effort de
sécurité. En revanche, le rapport s’inverse si l’on évalue
l’importance des capitaux: plus importants sont ceux-ci,
moins les banques s’estiment «très bien protégées»…
° Le budget alloué à la sécurité? Plutôt stable…
La question du budget est cruciale pour implémenter
de nouvelles technologies ou, plus simplement, garantir
le niveau de conformité nécessaire. Dans la plupart des
banques, la sécurité est encore et toujours considérée
comme un centre de coût. 54% des institutions
interrogées confirment que leur budget est stable;
41% évoquent une évolution. Aucun répondant, c’est
heureux, n’a évoqué de réduction de budget.
° Information Security Officer, une fonction
naturellement proche de l’IT
82% des banques ont nommé un Information Security
Officer. Mais ce n’est là qu’une moyenne. En fait, tout
dépend de l’importance de la banque, les plus grandes
ayant été les plus nombreuses (90%) à officialiser cette
responsabilité. Ceci noté, cette personne assure par ailleurs
d’autres responsabilités. Principalement l’IT (43%), ensuite les
risques opérationnels (19%) et la sécurité physique (19%). De
toute évidence, le lien entre sécurité et IT est -et reste- fort.
° Business Continuity, les plus grandes font la
différence!
Une priorité, c’est évident. Mais des niveaux de tolérance
relativement différents d’une banque à l’autre. Si l’on
peut se risquer à établir une moyenne, le «downtime» est
de moins de 4 heures (58%). Plus intéressant: l’étude a
montré une corrélation forte avec le montant des capitaux:
19% des banques disposant de plus de 5.000 millions
d’EUR annoncent un «downtime» s’exprimant en minutes.
Par ailleurs, si 97% des banques ont un BCP (Business
Continuity Plan), il apparaît que 15% des répondants ne
disposent pas d’un BCP formalisé, testé et maintenu…
Pour la première fois, via le «Benchmark 2007 of Information Security - Banks and insurances
in Luxembourg», les banques et les compagnies d’assurance luxembourgeoises ont évoqué
ouvertement leur politique en matière de sécurité. Bien que limitée à 51 institutions,
l’initiative de Telindus Luxembourg mérite d’être saluée. Son rapport de 64 pages -réalisé
en partenariat avec l’ABBL (Association des Banques et Banquiers de Luxembourg), l’ACA
(Association des Compagnies d’Assurances), la CSSF (Commission de Surveillance du
Secteur Financier) et le Ministère de l’Economie- est riche en informations, réflexions et
tendances. Soluxions a épinglé une série d’informations relatives au secteur bancaire.
«Benchmark 2007 of Information Security - Banks and insurances in
Luxembourg» est une initiative de Telindus Luxembourg.
Ont contribué à cette première édition: Olivier Antoine, Crédric
Mauny, Renaud Dumas et Daniel Soriano.
Si l’Information Security Officer assure d’autres responsabilités,
quelles sont-elles?
IT 43%
Risques opérationnels 19%
Risques physiques 19%
Audit 14%
Management 5%
Autres 38%
0 10 20 30 40 50
4. Soluxions 66 - Mai2008 [ 11 ]
protégés», voire «très bien protégés»
° Les technologies d’authentification forte
et de gestion des identités en retrait
Suprématie des firewalls (97%), programmes d’anti-virus
(92%), outils d’encryption (82%) et autres IDS/IPS (71%).
En revanche, moins d’intérêt pour l’authentification
forte -biométrie, token, etc. Niveau de pénétration:
34%. Précisons ici que l’attentisme des banques sur le
sujet de l’authentification forte n’est pas propre à la
place luxembourgeoise… mais au secteur financier en
général. Or, les attaques de «phishing» (tentative de vol
d’informations personnelles) sont bien réelles! Retard,
également, au niveau de la gestion des identités. Le SSO
(Single Sign-On) recueille à peine 16%. La technologie,
il est vrai, s’intègre le plus souvent à un projet de
sécurité plus étendu, dans lequel elle ne constitue
qu’un élément secondaire, voire un simple bonus.
La veille technologique? Une question de ressources!
Gestion, analyse, suivi… La prévention des risques est
aussi un investissement intellectuel. Telindus parle à
raison de «veille technologique». Il apparaît que 58%
des banques affirment mener une démarche de veille
technologique, mais pas systématiquement. L’écart entre
les banques qui mènent une démarche systématique
et celles qui ne le font pas est très net si l’on tient
compte de la taille: 50% pour les plus grandes, 29%
pour les moyennes et 18% pour les plus petites.
Menez-vous une politique de veille technologique en matière de sécurité?
n Ne sait pas/N’a pas répondu
n Non
n Non, mais la démarche est envisagée
n Oui, mais pas systématiquement
n Oui, systématiquement
De 1 à 49 employés
De 50 à 249 employés
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Plus de 250 employés
De 1 à 49
employés
De 50 à 249
employés
Plus de 250
employés
Firewalls » « «
Anti-virus sur stations de travail ∆ » «
Anti-virus sur portails de messagerie « » ∆
Outils d’encryption » ∆ «
IDS/IPS » « «
Anti-spyware/ Anti-malware » « »
Authentification forte » « »
Firewalls individuels » ∆ «
SSO » » «
Les choix technologiques sont fonction de la taille de la banque
5. Pleins feux
sur la sécurité
Telindus a présenté les résultats de son étude sur l’état
de la sécurité de l’information au Luxembourg.
Première étude sur la sécurité exclusivement dédiée au Grand-Duché de
Luxembourg, ‘Benchmark 2007’ analyse l’état de la sécurité de l’information au
sein de 51 banques et sociétés d’assurances. Lancée l’été dernier par Telindus
PSF, l’étude s’adressait à plusieurs domaines de sécurité: physique, business
continuity, conformité, standardisation, responsabilisation, etc.
Avec cette première étude, Telindus PSF veut
ainsi donner un angle local à la problématique
de la sécurité et fournir des résultats utiles aux
institutions publiques et aux responsables de la
sécurité des systèmes d’information (RSSI). La
société a également souhaité mettre l’accent
sur la confidentialité des données. Ainsi, les
réponses furent utilisées avec la confidentialité
la plus complète, sans identifier directement
ou indirectement les participants. Un élément
important à prendre en compte alors que 80%
des répondants de l’étude représentent le sec-
teur bancaire, contre 20% pour les sociétés
d’assurances, et que les RSSI doivent évaluer
la sécurité de leurs systèmes…
Lors de l’évaluation du degré de protection
en termes de sécurité d’information, les RSSI
ont répondu: très bonne (20%), bonne ou
relativement bonne (75%) et mauvaise ou
insuffisante (5%). En termes de budget alloué
à la sécurité de l’information, 20% des répon-
dants prédisent une augmentation majeure
dans l’année à venir, 31% une augmentation,
41% que cela restera constant et 8% n’ont
donné aucune réponse. Plus précisément,
alors que les banques répondent en majo-
rité (55%) que les investissements seront
constants, les sociétés d’assurance y voient
une augmentation très importante (38%) ou
importante (46%). Seules 8% prédisent un
investissement semblable à l’année précé-
dente, ce qui induit une focalisation accrue
pour ces sociétés. Enfin, 72% des répon-
dants on un plan de business continuity en
place et formalisé, tandis que 20% sont en
cours, et 8% n’ont encore défini aucune stra-
tégie en la matière.
rÔlE(s) Du rssi
De manière générale, les répondants esti-
ment que le rôle du RSSI est bien défini et
chapeaute même d’autres fonctions (32%).
Cependant, 10% d’entre eux pensent que
la responsabilisation du RSSI n’est pas
assez claire tandis que 8% déclarent que
cette problématique est en cours de résolu-
tion. Le RSSI peut aussi prendre en charge
d’autres fonctions, telles que l’IT, le risque
opérationnel, la sécurité physique, l’audit et
le management. En matière de risques, 15%
des répondants estiment que le risk assess-
ment est fait en fonction d’une méthodologie
reconnue, tandis que dans 65% des cas, la
méthode est inhouse. Dans 20% des cas, le
risk assessment n’est soit pas encore défini,
soit pas encore en projet.
la CErtiFiCatioN,
NoN prioritairE
Telindus PSF a également comparé les
systèmes d’information du secteur des ban-
cassurances luxembourgeois aux standards
internationaux ISO/IEC 27002 :2005.
Selon l’étude de Telindus, 65% des répon-
dants sont familiers avec ces standards,
tandis qu’environ un tiers des personnes les
connaissent peu ou pas du tout. Alors que
45% des sociétés sont en train d’implémen-
ter les recommandations émises par ces
standards, environ 55% ne comptent pas les
développer, ou les ignorent. Enfin, seuls 10%
des répondants vont suivre cette standardi-
sation jusqu’à obtenir la certification.
//// priorités pour
l’aNNéE 2008 ////
1. Data confidentiality
2. a. Awareness-raising
and training of the personnel
b. Data backup
c. Disaster recovery
and business continuity plan
3. Information security policy
4. Network and remote
access protection
5. Analysis of risks
6. Compliance with legal
and regulatory aspects
7. a. Physical protection
of equipment and data
b. Rights, access and privilege control
8. Identification and classification
of assets and definition
of responsibilities
9. Information system monitoring,
incident detection and response
10. Protection against viruses,
malware, spyware and spam
JUIN 08 73
BUSINESS DECISION MAKER
ACTUAL-IT
Sécurité