Luigi Brusamolino, Symantec : dans l'arène des services

• Imprimer

Luigi Brusamolino, Directeur Senior de la Région Sud EMEA, est un routier expérimenté de la sécurité. Ex PricewaterhouseCoopers, où il assurait la fonction d'IT Manager, ancien de la « business unit » sécurité d'Atos Origin et ex Alcatel, il s'occupe, depuis, du développement des « services » sécurité chez Symantec. Une division encore largement inconnue du public. Mais, depuis quelques jours, l'éditeur a mis à disposition sur son site les conclusions d'un rapport sur les « Méthodes utilisées pour atténuer les risques informatiques ». CSO France : Un document qui tranche très nettement avec les statistiques de la sinistralité régulièrement analysées dans les « Internet Security Threat Report ». Luigi Brusamolino : ...C'est le but recherché, et ce n'est probablement pas le dernier du genre. Pour l'instant, notre division est encore discrète, et ne compte que 90 employés environs. Mais l'importance croissante des services dans le secteur de la sécurité nous fait prévoir un chiffre d'affaires de 100 M$ d'ici deux ans pour notre zone. De façon très schématique, le service aux entreprises devrait rapidement atteindre 10 % des ventes groupe (ndlr : le fiscal 2006 de Symantec se situe un peu au dessus de 4 milliards de $). Avec des variations de pays à pays... en Italie par exemple, l'on constate que la proportion des services est plutôt stabilisée aux environs de 14 % des revenus. Voilà pour les objectifs. Côté principes généraux, force est de constater que la sécurité n'est pas une technologie, mais un service, tout comme dans le business IT. Autrement dit, il s'agit de commerce d'idées, de solutions, de support... une prise de conscience qui a commencé à devenir tangible peu de temps après le rachat de Veritas. Eux-même étaient déjà engagés dans cette voie, notamment pour tout ce qui concerne le « disaster recovery ». On ne peut résumer la reprise après incident à l'utilisation d'un seul logiciel de backup... c'est plus complexe, plus étendu que çà. De là à instaurer chez Symantec une approche orientée « processus » et non plus uniquement technologique, il n'y a qu'un pas. D'autant plus logique à franchir que, durant ces dernières années, l'on a vu apparaître des documents cadres, des normes, des méthodes, avec notamment Cobit et Itil, l'Iso 27 000 et suivantes, les bonnes pratiques de la 7799 » CSO France :après avoir, des années durant, persuadé les acheteurs de l'absolue infaillibilité et nécessité des protections périmétriques et de l'universalité du couple antivirus/firewall, vous ne pensez pas que çà risque d'être dur de faire admettre ce revirement ? Luigi Brusamolino « C'est un challenge. De toute manière, le marché « consumer » reste très important. D'autant plus important que se répand l'usage de l'informatique auprès des particuliers, des TPE... là, l'approche périmétrique demeure encore la meilleure solution, et ce n'est pas demain que Symantec abandonnera ce secteur. Tant d'un point de vue technologique que commercial. Pour les entreprises de plus grande envergure, du « mid market » aux grandes structures, tout le monde a pris conscience que les outils de protection (antivirus/firewall/antispyware/déploiement de correctifs etc) sont devenus des « commodities », de simples biens de consommation courants : la sonde A.V., le firewall, tous les éléments sécu sont intégrés dans l'IT, et l'IT est intégré à son tour au business. La technologie est quelque chose qui peut aider à la gestion du problème, et non pas une solution au problème. C'est après cette prise de conscience que nous pouvons aider. Aider notamment à la définition des contrôles, aux choix des approches qui, mal maîtrisées, peuvent devenir très lourdes et très coûteuses. Par exemple, le choix d'un bon processus de reporting pour des filiales, ou la manière d'augmenter le niveau de conscience sécuritaire. » CSO France :Certes, mais notamment dans le secteur que vous appelez le « mid market », le message périmétrique est encore sérieusement bien ancré... L'achat de « conseil en sécurité » est considéré comme une dépense totalement stérile... Luigi Brusamolino : « La définition de la sécurité a changé. Le problème que se posent les entreprises, petites ou grandes, se résume ainsi : « comment augmenter la confiance dans ce monde technique en évolution ». Confiance tant vis-à-vis des clients, que des fournisseurs, des collaborateurs, des sous-traitants, des fournisseurs... bref, de l'écosystème productif dans le cadre des « entreprises ouvertes ». Au sein des grandes entreprises, et compte tenu de la complexité croissante des infrastructures informatiques, la « solidité » des outils de traitement de l'information participe à cette confiance. L'approche normative, et notamment ISO 27000, est considérée comme la seule approche efficace pour maîtriser des réseaux complexes, qui associent systèmes, applications et dépendances avec les flux métiers. Ce sont de toute manière des entreprises qui utilisent depuis longtemps Itil ou Cobit. Notre travail est de les aider, de les accompagner à d'une part maîtriser leur environnement sécurité, d'autre part de répondre aux exigences des règlementations en vigueur (Bâle, SoX...). Les plus petites entreprises sont, de leur côté, entrainées dans ce flot. Car, pour demeurer dans la mouvance des grands groupes, bon nombre de sous-traitants ou fournisseurs doivent impérativement prouver la conformité de leurs processus de fabrication... et de sécurité, puisque les méthodes de travail moderne obligent un certain niveau d'échange et d'interpénétration des outils TIC. De toute manière, pour eux, patrons d'entreprises moyennes ou petites, l'absence de conformité aux réglementations, la non cohérence par rapport à des méthodes employées par un donneur d'ordre peut aboutir à une dénonciation de contrat. Et comme il est rarissime que ces entreprises du « mid market » disposent d'un « lead auditor », elles peuvent faire appel à nous. » CSO France : cette approche « sois conforme ou meurs », cette obligation de la normalisation sécurité « top down » risque d'échouer si elle est ressentie comme une action forcée. D'autre part, on imagine mal un petit sous-traitant s'engager dans une démarche ISO complète, qui risque d'être plus coûteuse que ce que rapportera un contrat extérieur... Luigi Brusamolino : « Effectivement. C'est pourquoi nous tentons d'adapter notre offre. Il est évident que, dans bien des cas, les travaux à effectuer auprès des entreprises « moyennes basses » sont de l'ordre de la sensibilisation, de l'éducation, et surtout de l'application des « bonnes pratiques ». C'est le rôle de la 7799. Il n'est pas toujours nécessaire d'aller au-delà dans un premier temps. Et puis, il ne faut pas sous-estimer le poids des règlementations. En Italie, les lois poussent de plus en plus les sociétés à respecter ces bonnes pratiques. Plus qu'une nécessité, c'est une obligation. Surtout si le matériau informatif sur lequel travaille l'entreprise touche des données à caractère personnel. Ces obligations légales s'étendent donc, en toute logique, jusqu'aux filiales et agences locales de l'entreprise concernée. Et l'application des processus normés ou des bonnes pratiques s'applique alors à des structures que l'on peut comparer à des TPE, voir des artisans. » ___________________________________________________________________

Rapport Symantec : La communication interne prise en défaut
Le rapport « IT Risk Management » de Symantec fait ressortir une très nette carence dans la perception que les différents collaborateurs d'une entreprise peuvent avoir sur les questions de sécurité. Indiscutablement, les pressions et les risques de poursuites judiciaires ont très nettement modifié l'attitude des Directions quant aux questions de sécurité des systèmes d'information. Reste que les cadres informatiques se sentent nettement moins concernés (8%) par la probabilité d'un risque informatique capable de toucher le fonctionnement même de l'entreprise, contre 22 % des directeurs T.I.. L'estimation même de la sécurité des outils varie en fonction de l'angle sous lequel on considère la chose. Ainsi, le rapport explique que 68 % des personnes interrogées estiment que leur organisation est efficace à plus de 75 %. Mais souligne également un problème de contrôle de processus spécifique pour l'identification, la classification et la gestion du parc informatique. Seulement 38 % des personnes interrogées estiment leur efficacité à plus de 75% dans la mise en place de contrôles de processus pour la gestion, la classification et l'inventaire des équipements. Pourtant, le risque existe et est reconnu : 66 % prévoient au moins un incident réglementaire majeur par période de cinq ans. De plus, 58 % prédisent également au moins une perte de données majeure par période de cinq ans ».