Bonjour,
Quel est l'avis de l'Expert en sécurité informatique? On retrouve beaucoup d'informations sur internet expliquant que l'ensemble des sociétés américaines (y compris évidemment les fabricants de matériels de sécurité ou les éditeurs logiciels) sont soumis au Patriot Act et que par conséquent, le gouvernement fédéral leur impose la mise en place de mécanismes donnant accès aux données personelles de l'utilisateur (brèches voulues, backdoors...).
Chez un grand constructeur de matériel réseau américain, on a même publié les spécifications de ce mécanisme appelé "Lawfull Interception".
La question est donc de déterminer le niveau d'exposition de nos entreprises françaises et européennes à ces failles de sécurité - et donc un potentiel espionnage industriel/innovation - orchestré par les autorités outre-atlantique.
Au delà du problème éthique, légal et de respect des droits de l'homme que ces types de mécanismes impliqueraient si leur existence étaient avérées, cela pose un véritable problème économique et de protection de nos informations sensibles, même vis à vis d'une nation amie. Peuvent-ils accéder à nos LAN? Est-ce que les matériels Arkoon (pro) ou open source de type dd-wrt (perso) prémunissent contre ces risques selon vous?
D'avance merci
Tristan
Bonjour Breizer,
Il est difficile de répondre à la place de nos confrères constructeurs étrangers (américain ou autre), ou d'imaginer leur relation plus ou moins serré avec l'état de leur pays d'origine.
Par contre, vous avez tout à fait raison, sur un point : ce type de mécanisme, s'il existait, serait à la fois une problématique "morale" mais aussi économique. La majeur partie de notre économie est numérisée, et l'outil informatique a remplacé tous les anciens systèmes de documentation (papier) et d'échange de messages (téléphone notamment).
Ainsi, les enjeux économiques sont-ils énormes ! Pénetrer dans un réseau, c'est obtenir quasi systématiquement une quantité d'information importante, que ce soient des éléments de propriétés intellectuelles (plan & conception de produits) ou commerciales (fichiers clients, planning de sortie d'un produit ou d'une opération promotionnelle).
Les entreprises françaises doivent voir leur réseau protégé par des produits de confiance.
Les solutions OpenSource sont un premier élement de réponse, encore faut-il prendre le temps de recompiler les sources pour être sur que les sources correspondent au code ! Elles ont aussi l'inconvenient de nécessiter un temps de gestion plus important car elle manque souvent de solution de management centralisé, de monitoring ou de reporting.
Chez Arkoon, nous cherchons à ce que nos produits recoivent la Qualification Standard de l'ANSSI doublée par une évaluation critère commun EAL3+. C'est pour nous une preuve de la confiance que nos clients peuvent accorder dans nos solutions. Nos clients, particulièrement les opérateurs d'infrastructures critiques sont demandeurs des certifications. A leur yeux, c'est une preuve indépendante - rappellons qu'une entreprise indépendante évalue les produits en matière de sécurité - de la confiance qu'ils peuvent accorder dans le produit.
J'espère avoir répondu à votre question. N'hesitez pas à poser des questions complémentaires si nécessaire !
Laurent
Laurent H. - Arkoon il y a 3 mois
Merci beaucoup pour votre réponse.
Tristan
Breizer il y a 3 mois