Entretien avec Serge Saghroune, Directeur du département sécurité et méthodes du groupe Accor

Serge Saghroune
Directeur du département sécurité et méthodes du groupe Accor

le 21/02/2008, par Jean Pierre Blettner, RT Sécurité

"PCI DSS à la couleur de la sécurité, mais ce n'est pas de la sécurité. La conformité à PCI DSS donne une fausse impression de sécurité, c'est comme se promener avec un costume qui n'aurait que le devant alors que l'on est nu par derrière".

Serge Saghroune

R & T : Parmi les RSSI de l'hexagone, vous avez adopté une position originale puisque vous avez créé une équipe interne chargée des tests d'intrusion qu'il s'agisse de vos propres systèmes ou de ceux de vos partenaires. Continuez-vous dans cette direction ?

Serge Saghroune : Tout à fait. Et je peux vous dire que très peu d'applications résistent qu'elles soient françaises ou internationales. Idem pour les sites Web. On est surpris de la faiblesse des logiciels. C'est une tendance de fond, en une heure, on peut accéder à des données confidentielles.

R & T : Quelles sont vos priorités actuellement ?

Serge Saghroune : Nous vivons l'arrivée d'une espèce de norme, PCI DSS, édictée par Visa et MasterCard, qui est en fait une compilation de ce que tout le monde doit faire. Cela pose déjà un premier problème : qu'est-ce que l'on est censé faire de tout ce que l'on a déjà pu mettre en place précédemment ? On le jette ? Qui paie alors ? Autre souci, être conforme à PCI DSS n'est pas être sécurisé. Il s'agit juste d'un document que l'on doit posséder pour faire plaisir à VISA, et sur lequel les banques insistent d'ailleurs particulièrement. Mais être PCI DSS n'assure pas une protection suffisante. C'est comme se promener avec un costume qui n'aurait que le devant alors que l'on est nu par derrière.

R & T : PCI DSS permet cependant d'éviter que les numéros de carte bancaire des particuliers ne soient dérobés et utilisés frauduleusement ?

Serge Saghroune : C'est un souci des américains. En Europe, on dispose du standard EMV ainsi que l'utilisation du code CVV (NDLR : code situé à l'arrière de la carte bancaire et servant à vérifier que le porteur dispose bien de la carte). Au final, PCI DSS prend beaucoup de temps, et si ce standard empêche effectivement de dérober des numéros complets de carte bancaire, il ne bloque absolument pas l'accès à toutes les autres informations confidentielles. C'est pourquoi nous insistons chez Accor sur les tests applicatifs globaux.


Présentation du groupe Accor :

Le groupe Accor est présent dans près de 100 pays avec 160 000 collaborateurs. Le groupe est le leader européen et un groupe mondial dans l'Hôtellerie et les Services. Hôtellerie tant au travers de ses marques économiques avec formule 1, Motel 6, Etap Hotel, Red Roof Inns et Ibis, Accor intervient également comme un acteur majeur de l'hôtellerie milieu et haut de gamme avec Suitehotel, Mercure, Novotel et Sofitel, avec en tout 4000 hôtels de par le monde. Accor Vacances complète cette offre dans le domaine du loisir et de la thalassothérapie avec Accor Thalassa et Coralia Club.

Biographie

Le département sécurité du groupe Accor a été créé en 1998 par Serge Saghroune. Il est rattaché au directeur des systèmes d'information du groupe. Serge Saghroune travaille dans la sécurité depuis 1990. Il est Vice-président en exercice du Clusif.