ACTUALITES

La veille de l'événement, le San Francisco Chronicle annonçait la problématique de la RSA Conference édition 2008 : "Fixing Computer Security". Lors de son discours d'inauguration, Art Coviello a tâché de donner quelques pistes. Le Vice Président Exécutif d'EMC et Président de RSA, la division sécurité d'EMC, a prôné de réajuster la mire sur la donnée, dans une démarche dite de "sécurité intelligente" avec pour objectif de repenser la sécurité. "Nous devons aller au-delà des outils qui bloquent aveuglement l'accès aux données, vers des mécanismes qui prennent en considération l'information, et qui la sécurisent intelligemment tout au long de son cycle de vie", insiste Art Coviello.

Selon lui, c'est le moyen de faire passer la sécurité du rôle d'inhibiteur à celui d'accélérateur. Cette approche d'une sécurité orientée vers la gestion du cycle de vie de la donnée est dans la droite ligne du discours tenu en 2007 par Art Coviello. Il faisait alors la part belle à un concept, "l'information centric security", qui consiste à lier la sécurité à la gestion de l'information. Ce concept a d'ailleurs été repris par le CEO de Symantec John Thompson lors de sa présentation cette année. Et qui dit gestion de l'information dit Data Loss Prevention (DLP) ou prévention contre la fuite d'information.

Certes le sujet n'est pas nouveau. Ces 18 derniers mois, une série d'acquisitions a révélé l'émergence de la prévention contre la fuite de données, dite Data Loss Prevention (DLP) en anglais. Cependant, que ce thème soit le premier abordé par Art Coviello dans son discours est significatif de l'importance qu'il a pris. "Il s'agit du concept de gestion des risques du point de vue de l'information, donc des données", résume Tom Corn, Vice Président Produits, du Data Security Group de RSA. Si le principe est simple, il implique toutefois une transformation du paysage de la sécurité. Art Coviello croit toujours fermement qu'une industrie de la sécurité indépendante n'a pas de raison d'être. La sécurité doit être un élément fondu dans l'infrastructure. Devant un parterre de plus de 4 000 professionnels, le Président de RSA a plaidé pour une stratégie holistique de réévaluation de ce que la sécurité signifie pour une entreprise, mettant l'accent sur le nécessaire alignement de son implémentation sur les risques.

Cette vision coïncide avec l'annonce de cinq nouveaux services de consulting de RSA, dont la vocation est d'accompagner les entreprises dans l'estimation de ces risques. Ces cinq services sont respectivement :

. Information Risk Assessment : pour une analyse globale du niveau de risques de l'entreprise, et la définition d'un programme de "remédiation" abordant la gouvernance, la politique de sécurité, la protection des données, l'authentification, etc.

. Information Security Policy Development : pour assurer la bonne définition et l'ajustement des politiques de sécurité.

. Information Security Program Development : pour l'alignement des pratiques de sécurité sur des besoins métiers, et l'accompagnement vers la mise en conformité aux différentes réglementations.

. Data Loss Prevention Risk Advisor : pour l'identification et la classification des données sensibles.

. Assessment Service for Storage Security : pour la protection spécifique des infrastructures de stockage.

Si Art Coviello n'a en outre pas minoré l'intérêt de l'environnement de régulation, il a prévenu les professionnels du risque de ne se concentrer que sur la mise en conformité réglementaire. Laquelle peut "affaiblir les entreprises par la mise en place d'actions de contrôle qui les conduisent à dépenser à tort pour se couvrir de risques supposés qu'elles ne courent pas".