L’édition 2011 d’Infosecurity Londres se déroulera sous le signe de l’éducation des visiteurs à la sécurité. Ainsi, quatre espaces de conférences seront déterminés en fonction des types : technique, organisationnel, des workshops et des tables rondes.

Par ailleurs, un espace sera réservé aux nouveaux exposants afin de susciter l’intérêt des visiteurs.

Par ailleurs, le portail d’Infosecurity a été relooké. Il inclut des news, des interviews de CEO, CTO… rédigées et filmées…

Cette année, les organisateurs attendent 20% de visiteurs en provenance de l’étranger, du côté des sponsors, ils viendront cette année d’une soixantaine de pays. Donc une confirmation qu’Infosecurity Londres est un véritable salon international sur la sécurité.

Durant la traditionnelle présentation des avant-premières d’Infosecurity, plusieurs thèmes ont été abordés parmi lesquels : la sécurisation du Cloud Computing avec AEP Networks, SafeNet, la gestion des vulnérabilités avec Secunia et Idappcom, le management de la sécurité avec l’Information Security Group. Le Trusted Computing Group a présenté ses activités, en particulier en matière de sécurisation des données en utilisation des solutions de chiffrement.

Russ Dietz, CTO de SafeNet

Authentification forte et chiffrement pour sécuriser le Cloud

Russ Dietz, CTO de SafeNet a présenté la vision de son entreprise en matière de sécurisation des différents Cloud : public, privé, communautaire et des types de métiers des entreprises. Pour lui, les menaces sont différentes en fonction de ces deux paramètres et nécessitent des stratégies de sécurisation adaptées. Dans tous les cas, le recours à l’authentification forte et au chiffrement est incontournable. En effet, certaines menaces concernent l’ensemble des Clouds comme les vulnérabilités de l’hyperviseur, le hijacking, l’utilisation malveillante des super-privilèges…

Mark Darvill, AEP Networks Ltd

Mark Darvill, VP marketing d’AEP Networks Ltd, a rappelé les principaux dangers liés au Cloud Computing. Pour lui aussi, quel que soit le type de cloud, il faut déployer de l’authentification forte. En effet, est des points d’entrée est l’authentification des utilisateurs. Il a aussi pointé la sécurité des interfaces et API. Bien sûr, l’ensemble de ces points faibles entraîne des fuites de données, du hijacking… Pour pouvoir donner au Cloud tout son potentiel, c’est-à-dire préserver la confidentialité et l’intégrité tout en garantissant de la disponibilité à 100%, il faut déployer de l’authentification forte, mettre en place un système d’IAM et faire du contrôle d’accès en garantissant la séparation des rôles. En conclusion de son intervention, il a précisé qu’il faudra sécuriser les données avec du chiffrement. « Les entreprises vont être de plus en plus dépendantes du Cloud, elles devront croire en leur fournisseur, mais aussi en leurs employés et dans les politiques de sécurité déployées par leurs providers…

Graeme Proudler, Trusted Computing Group (TCG)

Graeme Proudler, Trusted Computing Group (TCG), a présenté son association à but non lucratif dont l’objectif est de développer, définir et faire la promotion d’une plateforme ouverte d’authentification. Le standard TMP pour l’authentification forte créé par le TGC permet de réduire les coûts de moitié par rapport à une carte et coûte le tiers du prix d’un token. Il a donné plusieurs exemples d’entreprises comme Mazda, Price Waterhouse Coopers… qui utilisent l’un des trois standards du TCG : TMP, TNC pour les réseaux et SED pour l’utilisation d’un standard de chiffrement.

Antony Haywood, CTO d’Idappcom

Le test de vulnérabilité est une obligation

Pour Antony Haywood, CTO d’Idappcom, une société de test et d’audit britannique, les menaces sur les SI sont de plus en plus prégnantes. Disposer d’empilement d’outils de sécurité n’est plus suffisant. Il a d’ailleurs donné des exemples pour by-passer des firewall, des IDS, des IPS… Antony Haywood estime que le constat est alarmant. Il a dressé un tableau des meilleurs fournisseurs en matière d’IDS et d’IPS ; parmi les meilleurs pour éviter les fuites de données, il y aurait IBM et McAfee, les moins bons seraient Cisco et Tipping Point. Par contre, ce classement change pour le contournement des politiques de sécurité. Le problème viendrait entre autres du paramétrage de ces outils. En effet, pour gagner en performance, les paquets ne seraient pas tous inspectés. En général, les paramétrages par défaut permettraient de n’inspecter que les en-têtes et la fin des paquets. Ainsi, avec un bon en-tête et une bonne fin, les malwares pourraient passer sans problème. D’où la nécessité d’aller plus loin en renforçant les politiques de sécurité quitte à perdre un peu en performance.

Alexander W. Dent, Royal Hollway de l’University of London

Un bon SMSI peut résoudre des problèmes de sécurité

Alexander W. Dent, Reader in Information Security du Royal Hollway de l’University of London, a analysé ce qu’il appelle le « mythe du SMSI statique ». Il a réalisé une matrice en fonction du niveau de SMSI d’une entreprise et en la graduant de 1 à 6. Le niveau 6 étant une entreprise qui contrôle globalement sa sécurité et surtout les impacts des risques par la mise en place d’un langage commun pour tous les services.

Puis, il s’est demandé pourquoi les entreprises n’étaient pas toutes au niveau 6 sachant que le problème de coût est marginal puisqu’il ne s’agit que d’organisation. Selon lui, le premier problème serait la formation et la sensibilisation insuffisantes et surtout la résistance due aux habitudes.

John Colley,(ISC)²

John Colley, Managing Director EMEA d’(ISC)², a présenté les prémices d’une enquête réalisée auprès de RSSI membres de cette organisation. L’intégralité de l’étude sera publiée vers la mi février. Parmi les points forts de cette enquête, le Cloud Computing. Pour les RSSI, le Cloud aura un impact sur la fuite de données. Il va obliger les RSSI à repenser l’organisation des SI. Pour 25% d’entre eux, il va augmenter les problèmes de sécurité. Par contre, 25% d’entre eux pensent que le Cloud ne générera pas plus de problème de sécurité.