83 Membres 1275 Contributions

Open Community

En direct de la conférence RSA 2013

Publiée par Sophie M. - Arkoon dans rendez-vous-7

Laurent Hausermann, en direct de San Francisco

Chose promise, chose due. Je serai à l'occasion de la conférence RSA 2013, vos yeux et vos oreilles. Aujourd'hui se termine la troisième journée de la conférence et il est temps de faire le point.

Quelle foule, quelle diversité de personnes venant d’horizons différents : éditeurs de produits de sécurité, membres d'organisations publiques ou gouvernementales ou encore DSI / RSSI d'entreprises.

J'ai pu croiser énormément d'Américains mais aussi beaucoup de Japonais, de Brésiliens et même quelques Chinois. On remarque aussi facilement l’imposant stand allemand : sous la bannière TéléTrust - Gold Sponsor de l’événement - il regroupe une dizaine d'entreprises allemandes. C’est une bonne idée que de voir un Etat européen aider ses pépites à s’exporter à l’étranger. Malheureusement on voit peu de Français dans les couloirs, ni parmi les exposants ou les conférenciers. Citons tout de même Qosmos et 6WIND qui présentent leurs produits OEM, ainsi que les intervenants de l’ANSSI autour de la cryptographie.

La première journée est traditionnellement consacrée aux Keynotes. Cet exercice de style très agréable à regarder contient néanmoins énormément d'idées intéressantes. Les premières keynotes donnent le ton et reprennent les grands thèmes et idées majeures de la conférence. Il est donc intéressant de les suivre de près.

La matinée s'est ouverte par une prestation du groupe Queen Extravaganza qui a repris trois standards du groupe mythique de rock des années 80. Il n’en fallait pas plus pour qu’Art Coviello, le CEO de RSA (une filiale du groupe EMC) s’interroge autour du thème « We are the champions ». La seconde keynote de Microsoft se voulait optimiste et l’orateur énumérait les progrès faits dans les domaines de l’endurcissement du poste de travail. Les technologies de SecureBoot, TPM et UEFI arrivent à maturité avec Windows 8. Les entreprises adoptent de plus en plus le SDL « Software Developpement Lifecycle » qui intègre de nombreuses recommandations en matière de sécurité des applications. Le cloud change la capacité à livrer les applications aux utilisateurs et permet de les mettre à jour très rapidement, ce qui améliore la sécurité et simplifie le patch management. La troisième intervention de Symantec manquait un peu de dynamisme. L’intervenant est revenu sur les grandes tendances sans forcément nous transmettre un message fort.

Mais revenons sur le thème de la première intervention : sommes-nous des champions en termes de Sécurité Informatique ? Oui, si nous considérons le mot champion comme un synonyme d’experts. Mais le mot champion implique souvent l’idée d’être vainqueur. La situation aujourd’hui ne nous permet pas de nous considérer comme des vainqueurs :

  • Internet est aujourd’hui de plus en plus présent autour de nous. Les différents objets se connectent de plus en plus…Il existe même des pacemakers connectés à Internet. Imaginez les risques !
  • Le BYOD change complètement la donne dans les entreprises et les organisations. Qu’on le veuille ou non, cela devient une réalité à laquelle il faut s’adapter.
  • Les APT sont une réalité. Derrière le terme marketing, se cachent des organisations criminelles, des centres d’espionnage qui emploient des milliers de personnes. Je ne reviendrai pas en détail sur ce point, mais je vous engage à lire le rapport de Mandiant, appelé APT1. Il provoque un gros buzz au sein de la conférence, tant il rend réelle et concrète une menace qui peut parfois être conceptuelle voir virtuelle pour certaines décideurs. A noter que certains dénoncent une tendance forte au « China Bashing » (i.e. cela sera toujours la faute des chinois) et notent que les Etats occidentaux, USA en tête, possèdent aussi des entités très bien organisées pour la cyberguerre !

La fin de la matinée était consacrée au Cryptographer’s panel qui regroupe des légendes du domaine, comme Whitfield Diffie, Adi Shamir, Ron Rivest ou Dan Boneh. C’est ma session préférée car ces chercheurs, ces scientifiques ont une parole libre. Les discours marketing ou encore la politique sont absents de leur propos. Que faut-il retenir de ce panel et de leur revue de l’année 2012 ?

  • Tous notent que les attaques sur les systèmes informatiques, appelées aujourd’hui APT, deviennent de plus en plus sophistiquées. Ils remarquent que le niveau des attaquants s’améliore sans cesse.
  • Adi Shamir va encore plus loin en affirmant que la cryptographie est de moins en moins importante (« crypto is becoming less important ») dans le cadre des APT. A quoi bon chiffrer un document, si l’attaquant peut piéger le système qui va chiffrer et accéder soit à la clef de chiffrement, soit aux données en clair, voire parfois aux deux !
  • Plusieurs d’entre eux reviennent sur l’idée que le modèle de confiance du Web est fondamentalement dépassé (« Web CA model is broken »). Il semble important qu’on trouve des systèmes alternatifs, au risque de voir des affaires comme celle de COMODO, Diginotar se répéter. La confiance est aujourd’hui donnée à trop d’acteurs, aux pratiques pas toujours conformes à leur position.

Concluons ce billet sur l'ouverture sur le monde de la conférence 2013 : citons par exemple le projet de carte d’identité numérique mené par le gouvernement indien. C’est un projet pharaonique, plus de 1,2 milliards d’individus devraient recevoir leur carte. C’est aussi un système ouvert où les banques et autres instituts privés peuvent directement prendre parti au travers d’API dont l’intégration est facile à réaliser.

On ne peut que s’ébahir devant une telle diversité dans les thèmes et les intervenants. Il se dégage un fort dynamisme dans notre industrie et une grande maturité. Il n’y a pas de sécurité parfaite et le chemin que nous, en tant que communauté, devrons accomplir est encore très long. Les enjeux sont immenses et la menace plus affutée que jamais.

Merci pour vos commentaires.

Je reviendrai sur les tendances de la conférence 2013 dans un second billet.

Laurent

Pour publier un commentaire, merci de vous authentifier.

Messages d'alerte