Jeudi 19 octobre 2017
NASDAQ : 6624.22 0.56   nasdaq0.01 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE, SUR LE TERRAIN

Sécurité : quand le PDG est aussi le RSSI

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz le 20/10/2003 - indexel.net
 

La société Alban Muller n´a pas de responsable de la sécurité en interne. Qu´à cela ne tienne, c´est son directeur général qui coiffe la casquette de RSSI ! Son outil de prédilection : des audits de vulnérabilité en ligne. Son objectif : découvrir les failles avant les pirates, avec des moyens adaptés à une PME.

 

"La sécurité ? C´est moi qui m´en occupe personnellement", clame Laurent Muller (photo), directeur général d´Alban Muller International (AMI), fournisseur d´extraits de plantes à l´industrie cosmétique. Ce choix pour le moins atypique, Alban Muller International l´assume totalement : avec 130 collaborateurs, quatre serveurs accessibles depuis Internet et un routeur à la périphérie de son réseau, la PME n´a pas les moyens de s´offrir un responsable de la sécurité à plein temps. Et comme le directeur général connaît le monde de l´informatique et des réseaux, c´est à lui qu´à été confiée la responsabilité de veiller sur le système d´information de son entreprise.

Un compromis idéal entre le coût et l'efficacité

L´enjeu est pourtant de taille : Alban Muller International ne travaille qu´avec de grands groupes cosmétiques et pharmaceutiques et réalise la majeure partie de son chiffre d´affaires à l´export. "La sécurité est une priorité pour nous, car cela nous coûterait beaucoup plus cher de réparer un incident que de le prévenir", explique le directeur général et responsable de la sécurité du système d´information (RSSI). Et pour anticiper les incidents, rien ne vaut l´observation. "Nous pratiquons des tests réguliers afin d´évaluer l´étanchéité de notre réseau vu de l´intérieur, avec le scanner logiciel Stat. Mais depuis trois ans, nous utilisons aussi un service d´audits en ligne. Notre priorité maintenant est d´être blindés depuis l´extérieur, plus que de l´intérieur", poursuit Laurent Muller.Privilégier les menaces extérieures au risque interne : si l´idée peut déranger les experts, elle est en tout cas parfaitement cohérente avec les moyens, les besoins et les risques propres à une PME : "Pour nous, la menace vient de personnes qui font des scans aveugles depuis Internet en cherchant des machines vulnérables au petit bonheur, mais sans nous viser personnellement. Nous voulons être sûrs d´éviter ces attaques-là", justifie le directeur général. Le coût de ces audits en ligne joue bien sûr un rôle important dans le choix de cette solution. "Nous sommes bien conscients qu´un service automatisé ne remplacera jamais un auditeur humain, mais c´est pour nous un compromis idéal entre le coût et l´efficacité", poursuit Laurent Muller.

Un test de vulnérabilité par semaine, voire plus

Pour 3 000 euros HT par an, l´entreprise peut ainsi réaliser autant de tests de vulnérabilité qu´elle le souhaite. La société a pour cela choisi le service de Qualys, retenu après un scan de démonstration plutôt concluant : "Nous avons à cette occasion découvert des problèmes de configuration qui nous avaient échappés et qui étaient exploitables depuis l´extérieur", avoue Laurent Muller. Depuis, la société réalise un test par semaine, voire plus dans les périodes d´épidémies, de changement de configuration ou la mise en ligne d´une nouvelle machine. Pour le directeur général, qui a depuis délégué l´utilisation du service à un collaborateur, sa simplicité est un autre atout majeur : les scans se lancent depuis n´importe quel navigateur connecté à Internet, et les rapports, qui montrent comment un pirate verrait la société depuis Internet, sont disponibles sur un espace privé du site de l´éditeur.Difficile de faire plus simple, sans pour autant sacrifier à l´efficacité. "Notre anecdote la plus parlante : sur la configuration d´un serveur web sur plate-forme Microsoft, il était possible de neutraliser le serveur à distance à cause de quelques réglages accessibles avec ou sans firewall. Cela a été une bonne leçon de s´apercevoir que même en filtrant à tout va comme nous le faisions, nous étions vulnérables malgré tout. Car filtrer un port c´est simple, mais configurer correctement un serveur web, ça devient une affaire de spécialiste. Le scanner a détecté la faille sur le serveur et nous a proposé le réglage ad hoc pour la corriger", se souvient Laurent Muller. Pour quelques milliers d´euros par an, une telle solution rend ainsi de vrais services aux PME, sans pour autant exiger de spécialiste en interne. De quoi revoir les budgets pour l´an prochain...

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages