Antoine ANCEL,
RSSI de SNCF Réseau
« Le Cloud ne remet pas fondamentalement en cause notre approche sécurité SI »
« L’architecture de l’ensemble de nos systèmes d’information y compris industriels s’articule sur 3 macro-zones. La zone “standard” héberge les services courants, typiquement la bureautique, l’intranet, des applications sans impact direct sur notre cœur de métier. La zone “sécurité plus” héberge des systèmes cœur de métiers tels que la gestion de la circulation, la production horaire. La troisième zone, de “sécurité forte” , héberge tous nos systèmes ultra-critiques notamment en termes de sécurité ferroviaire, il s’agit d’une zone bunkérisée. Chaque zone dispose d’un catalogue de services de sécurité SI appropriés avec, par exemple, de l’authentification forte, du chiffrement pour le stockage ou le transport des données et chaque zone n’est interconnectée à la zone de niveau supérieur que via une zone d’échange.
Aller vers le Cloud ne remet pas fondamentalement en cause notre démarche. Il faut s’adapter à la fois au modèle économique du Cloud et s’appuyer essentiellement sur les services managés de l’opérateur de Cloud, à l’exception peut-être de certains, notamment pour la gestion des PKI par des boitiers HSM. »
Aller vers le Cloud ne signifie absolument pas transiger avec la sécurité et fort heureusement !
Arnaud Cohen,
RSSI dans le secteur bancaire
« Les SI sont de plus en plus hybrides, la sécurité doit l’être aussi »
« En termes de défense en profondeur, on a l’habitude d’isoler les différentes fonctions du SI en zones. Ces mêmes zones sont protégées par des équipements logiques ou physiques. Isoler par un pare-feu NG chaque zone et créer des VLANs ou LANs dédiés pour chaque fonction, comme par exemple les postes de travail, les serveurs, les interconnexions avec des partenaires. Cependant, il est nécessaire de protéger les ressources au sein même de ces zones, et l’utilisateur ne doit accéder qu’à ce qui lui est nécessaire dans le cadre de son poste et à rien de plus. Cela dit, les SI sont de plus en plus hybrides, ce qui complique cette approche. La sécurité doit aussi être hybride, mais cela pose aussi la question de la confiance à accorder aux offreurs de solutions. L’ANSSI pousse vers une certification des offres, c’est une excellente démarche. En revanche, il est aujourd’hui bien difficile de ne s’appuyer que sur des solutions franco-françaises pour sécuriser un SI complet. »
Vincent Nguyen,
Manager Cybersécurité du cabinet Wavestone
Responsable du CERT – Wavestone
« Définissez un plan d’assurance sécurité avec votre prestataire »
« Aujourd’hui, le système d’information d’une entreprise est totalement éclaté à l’échelle du monde, les données sont stockées et traitées dans des environnements qui ne sont plus totalement contrôlés par l’entreprise. Il peut s’agir d’opérateurs Cloud ou de partenaires fournisseurs de services qui gèrent eux-mêmes la sécurité de leur SI.
Pour assurer une défense en profondeur dans un tel contexte, il faut mettre en œuvre une cybersécurité qui repose sur 4 piliers. Le premier consiste à assurer un premier niveau de confiance sur tous les environnements. Il faut assurer une protection dynamique, se concentrer sur les actifs les plus critiques et se placer en capacité de détecter les attaques et y réagir. » n
