NetXP: Choisir une bonne stratégie de sécurité

Mais cette sécurité requiert une expertise pointue qu’il s’agisse de la sécurisation des accès réseaux, des contenus, des systèmes ou bien encore de PRA et de haute disponibilité. Eclairage avec Romain Lorenzini, Directeur Technique de NetXP.

Définir des stratégies sécurité

Accompagnement des RSSI dans la conduite d’audits, la définition de PSSI, la compréhension des métiers …. Telle est l’une des missions de NetXP, cabinet de conseil spécialisé dans les infrastructures réseaux, communications unifiées, Cloud computing et sécurité.

Analyse de risques certes, mais aussi cadrage de projets pour définir des stratégies, mise en place de systèmes de management de la sécurité de l’information (SMSI), les interventions de NetXP sont évidemment nombreuses côté RSSI et différencient le type de sociétés, celles qui travaillent sur les phases amont, à savoir les normes, les SMSI, les audits et celles qui travaillent dans la mise en œuvre de solutions et le design d’architecture. « Il est important de donner aux RSSI la vision de ceux qui vont déployer derrière et exploiter » souligne Romain Lorenzini.

De nouveaux RSSI

Terminée la vieille école des RSSI qui se contentaient de dicter et faire appliquer des règles sans se demander si celles-ci amenaient un plus en terme de sécurité et n’entraînaient pas d’autres impacts nuisant à l’aspect sécuritaire. « Par expérience, les règles trop strictes aboutissent à des architectures moins sécurisées car elles introduisent une complexité moins maîtrisée entraînant des pertes en disponibilité, et ce, sans disposer des ressources humaines nécessaires pour les exploiter » explique Romain Lorenzini. Les changements dans les mentalités et dans les hommes s’imposent. Quid de l’indépendance du RSSI par rapport à la DSI ? Il semblerait que certains RSSI se rapprochent des équipes techniques. La relation avec les métiers est essentielle, « le RSSI doit connaître les différents métiers de l’entreprise, ne serait-ce que pour savoir qui manipule des données sensibles ». La plupart des RSSI sont conscients de l’évolution des menaces et les vecteurs d’attaques sont connus chez les clients des domaines sensibles.

Rester pragmatique…

NetXP incite les RSSI à être pragmatiques et à se poser les bonnes questions afin de savoir quels sont les actifs les plus sensibles à protéger pour les sécuriser en priorité. L’amélioration vient seulement ensuite en sécurisant d’autres composants.

Mais pourquoi cette vision ? Les données gérées par les entreprises explosent, les budgets IT et Sécurité n’augmentent pas en conséquence, il est donc impossible de tout protéger au niveau maximum de sécurité et des choix s’imposent « nous accompagnons les clients dans cette direction pour se poser les bonnes questions et analyser les risques, savoir reconnaître les données vitales de l’entreprise » ajoute le Directeur Technique.

… Et protéger

Derrière la notion de protection, il y a bien plusieurs sens, ce n’est pas uniquement une question d’équipement mais c’est bien plus, c’est être capable de contrôler l’efficacité de ce qui est mis en place, « la capacité d’évaluer la pertinence des systèmes mis en place est essentielle, mais manque souvent » reconnaît Romain Lorenzini.

Le message est clair « ce n’est pas juste en empilant des appliances de sécurité, que l’on fait de la sécurité, mais en empilant les bonnes boîtes choisies en fonction des risques et en les faisant exploiter par des équipes expertes et compétentes » conclut Romain Lorenzini.