Entretien avec José Martinez, Directeur de la division sécurité, Cisco Europe du Sud

José Martinez
Directeur de la division sécurité, Cisco Europe du Sud

le 29/01/2014, par Didier Barathon,

« On ne peut plus avoir les équipes réseau d'un côté, les équipes sécurité de l'autre »

José Martinez

. Votre nomination traduit-elle une promotion, un remplacement ou une autre orientation de la sécurité chez Cisco ?

Ce qui  a changé au mois de septembre dernier, date de ma nomination, c'est que Cisco a considéré la sécurité comme tellement importante qu'il lui consacre une architecture de services et une organisation en propre. Cisco est organisé soit du point de vue commercial, soit du point de vue technologique et là nous avons quatre segments : les datacenters, le collaboratif, l'enterprise network et maintenant la sécurité, une nouvelle division.

Pour cette partie sécurité, nous proposons nos solutions « best of breed », avec six types de pro-duits : firewall, web, e-mail, VPN, IPS, network access center. Mais une réflexion s'est engagée, basée sur le fait que la sécurité est toujours très transverse chez nos clients comme chez nous, où elle se retrouve sur l'ensemble de nos entités.

Le modèle de sécurité ne peut plus rester ce qu'il était, et ce, pour plusieurs raisons : le marché est très fragmenté, une multitude d'acteurs se déploie avec des solutions séparées, et surtout il faut que toutes  les entités au sein même des entreprises soient incitées à beaucoup plus échanger et qu'elles en soient capables, qu'on ne retrouve plus les équipes réseau d'un côté, les équipes sécurité de l'autre.  Les hackers comprennent parfaitement cette situation en silos et savent en profiter. Ils n'hésitent pas à porter une attaque contre les équipes réseau, ensuite contre les applicatifs des équipes métiers et ainsi créent des failles parce que chaque entité répond uniquement pour sa partie. La technologie cloud accentue ces fragilités. Il faut donc casser ces silos. 

. C'est votre analyse, à partir de là, quelle est votre recommandation pour vos clients ?

Notre idée est de cumuler quatre modèles de sécurité :
. un premier à base de signatures, antivirale, IPS, URL ;
. un modèle d'analyse prédictive tant au niveau  local que global, pour comprendre les comporte-ments d'un réseau ;
. un modèle à base de réputation en collectant nos information à partir des adresses IP ou des applications distribuées ;
. une méthode contextuelle pour bien apprécier l'environnement de sécurité. 

Pour nous Cisco, il faut cumuler ces quatre méthodes. A cette condition, on retrouve une politique de sécurité efficace. Cumuler ces quatre méthodes  permet aussi de  réduire le taux de faux positifs (pourcentage de communications positives déclarées à tort négatives par l'anti-spam). C'est-à-dire le fait d'être sûr de bien bloquer une menace, non seulement d'agir en ce sens, mais d'être certain du résultat. Cumuler les quatre, permet aussi d'agir sur le faux négatif. En effet, quand on installe des mesures de sécurité, il arrive qu'elles ralentissent des process business. C'est l'effet pervers des menaces et des hackers.

Nous considérons que le modèle actuel de sécurité, trop fragmenté dans les entreprises, ne permet pas de répondre à l'extension du  nombre de terminaux en circulation et à la mobilité de plus en plus présente. Les entreprises ont du mal à définir la sécurité et enregistrent des retards dans la lutte contre les intrusions.  

. Quels sont ces nouveaux défis en matière de sécurité ?

Ils sont très visibles, avec la montée en puissance de l'Internet des objets, dans les  entreprises comme chez les particuliers, ou bien avec la mutation  des applications vers le cloud, public ou privé. Pour toutes ces raisons, la sécurité a du mal à suivre et ces nouvelles menaces peuvent être un frein au business.  L'environnement change nettement en matière de sécurité et la surface des hackers  devient plus importante, ils sont entrés dans une phase de sophistication de leurs méthodes et d'industrialisation de leurs process.

Des phénomènes tout aussi importants ont trait par exemple à l'augmentation exponentielle du nombre de codes, plus vous rajoutez de complexité, plus la menace évolue elle-même de façon exponentielle. On retrouve cette complexité avec la mobilité et Android, il y a de plus en plus d'endroits où l'on peut télécharger des applications sous Android, pas seulement chez Google ce qui accroît là encore la complexité de la lutte contre l'insécurité.

. Mais Cisco n'est pas sur le poste de travail, comment pouvez-vous répondre à cette notion glo-bale de sécurité ?

Pour nous, il faut utiliser trois éléments fédérateurs :

1/ le réseau, car c'est  l'endroit où passe la data. On ne l'utilise encore pas assez pour être source d'information, pour informer sur le contexte et le contexte à l'accès et que ces informations soient véhiculées partout dans le réseau.  Il faut plus de visibilité et plus de contrôle du réseau.
2/ deuxième point, utiliser au maximum le cloud computing. 45% du réseau mondial transite par nos équipements, en matière de sécurité et de réputation, on est ainsi capable d'alimenter une base de réputation énorme, de corréler des informations ;
3/ nous avons une plate-forme de sécurité ouverte, nous sommes ainsi agnostiques sur la plate-forme où on peut s'exécuter. Nos services sont installables sur des appliances, dans le cloud ou sur des switchs Cisco et tous nos services pourront se déployer mais pas uniquement sur des produits et solutions Cisco. Nous mettons également à disposition des API ouvertes.

. Vous-mêmes Cisco avez été victimes d'attaques y compris sur des routeurs comment expliquez-vous cette vulnérabilité ?

Nous ne sommes pas à l'abri, nous le reconnaissons. D'ailleurs, Cisco et ses équipes viennent parta-ger avec les sociétés, ce n'est plus le fournisseur mais l'entreprise qui témoigne. Les clients, qui pouvaient être réticents à communiquer, disent aujourd'hui ouvertement : «on arrête de se mentir qu'est-ce qu'on peut adopter comme contre-mesure », bref, c'est une libération de la parole.