Les responsables de la sécurité des systèmes d'information tiennent leurs Assises à Monaco

Lors de la conférence plénière d’ouverture, Patrick Pailloux a insisté fortement sur la nécessité pour les entreprises de vérifier la sécurité de leurs systèmes SCADA [1] . Il a notamment mis en avant la différence entre la sûreté de fonctionnement qui envisage les divers cas de pannes possibles d’un système et cherche à y parer, et la sécurité qui cherche à protéger les systèmes contre des attaques malveillantes. Se connectant désormais à Internet sans une bonne évaluation des risques encourus, ces systèmes SCADA sont pour lui le maillon faible actuel des systèmes d’information.

L’ère du smartphone sécurisé¶

En marge des Assises, Bull a présenté son nouveau téléphone ultra-sécurisé, Hoox. Celui-ci, qui devrait être commercialisé à 2 000 euros à partir de janvier, se distingue en se voulant totalement sécurisé : les applications installées sur le téléphone sont chiffrées, les données du téléphone et de l’utilisateur également, le système d’exploitation basé sur Android 4.1.2 a été durci, le matériel certifié est assemblé directement par Bull en France, et même les ports physiques du téléphone sont sécurisés. Le déverrouillage du téléphone se fait par empreinte biométrique ou par code de sécurité suivant le choix de l’entreprise acheteuse. Même les communications (voix ou données) entre deux smartphones Hoox sont chiffrées sans que ni Bull ni quiconque n’en détiennent la clé puisque les appareils s’échangent seuls les clés (ce qui pose d'ailleurs un problème juridique). Bull cible avec ce modèle des professionnels, notamment les cabinets d’avocats ou les banquiers d’affaires, voulant garantir la confidentialité de leurs échanges. Outre le prix du portable, il faudra aussi compter 6 000 euros pour la passerelle permettant la connexion sécurisée entre les appareils et le déploiement des applications choisies par la DSI. Bull assure une protection des données de niveau « diffusion restreinte » avec ce système.

Pour autant, ce n’est pas le seul acteur à offrir une solution de téléphonie sécurisée au cours de ces Assises. BlackBerry y était ainsi présent pour présenter son nouveau téléphone Z30 qui reprend le même système d’exploitation que le Z10 [2] (avec donc une séparation stricte du monde professionnel et du monde personnel), mais est doté d’un écran plus grand et d’une autonomie améliorée. BlackBerry promet de pouvoir tenir une journée et demie complète de travail avant de devoir recharger la batterie. Pour ceux qui ont besoin de plus de sécurité, Thalès propose Teopad, un conteneur à installer sur les smartphones des employés qui permet de chiffrer les appels passés, les messages envoyés et reçus, mais également les applications et les données liées à l’entreprise. En fonction des besoins, ces conteneurs sont facturés entre 150 et 500 euros. L’Américain Good Technology propose un service similaire. Ici, la société propose des applications sécurisées développées par ses soins (messagerie, calendriers, etc.) ou par des partenaires, à télécharger directement sur sa marketplace ou via celle mise en place par la société cliente. Chaque application est alors un conteneur sécurisé qui chiffre les données stockées et échangées en fonction des droits d’accès des employés ou des partenaires.

Au fil des Assises…

Deux ans après la fusion entre Keynectis et OpenTrust, la société a finalement choisi une identité commune et s’appellera simplement Opentrust, du nom de la marque la plus connue à l’international. Elle en a profité pour refondre son offre en deux grandes gammes. L’une est dédiée à la cybersécurité et regroupe les offres d’identification citoyennes, mais également d’entreprise (avec désormais la possibilité d’authentifier des machines et non plus uniquement des utilisateurs). L’autre concerne la protection documentaire, c’est-à-dire la signature et l’authentification électronique de documents, mais également le transfert sécurisé de fichiers. Opentrust rejoint par ailleurs l’AppExchange de Salesforce et s’intègre désormais dans le gestionnaire de la relation client de Salesforce. Enfin, la société présentait pour la première fois officiellement son partenariat avec CA Consumer Finance, qui permet la signature et l’acceptation d’un dossier de prêt à la consommation directement sur le lieu de vente à l’aide d’une tablette tactique et en 10 minutes au maximum pour valider un dossier.

 

À l’heure où tout le monde se focalise sur Internet comme porte d’entrée des malwares, Lexsi n’en oublie pas les diffusions plus artisanales, via une clé USB ou un disque dur externe. Cette borne, commercialisée à 3 000 et 1 200 euros par an, utilise quatre antivirus différents pour scanner les clés USB de votre entreprise. Chose surprenante sur un salon rassemblant des professionnels avertis, la société a quand même trouvé, en huit heures, deux malwares sur les clés de ses visiteurs.

 

Créé par des anciens de Gemalto, Doctrackr est un service qui utilise des fonctionnalités intégrées nativement dans Microsoft Office (depuis Office 2003) et dans Adobe Reader pour obtenir un état de lecture de documents envoyés par messageries électroniques, et les protéger et le cas échéant les détruire à distance. Ce service s’utilise en mode SAAS via Sharepoint, box.net et en intégrant une API à son serveur de messagerie. Pour l’instant, le service est facturé avec une licence par utilisateur et par volume de document. À partir de novembre, le service sera accessible directement dans Gmail avec une méthode pour chiffrer à la volée les messages. Il sera gratuit pendant 6 mois, puis gratuit jusqu’à 10 documents par mois ; au-delà, il faudra compter aux alentours de 15 dollars par mois pour l’envoi de 100 documents. Cette solution est ainsi déployée dans les 16 Apple Store de France.

1 Supervisory Control and Data. 2 Testé dans Revue Banque n° 760.