Accès au contenu		Début du rapport
	Description
	Contexte & Dates		Rapport réalisé pour notre service de veille en actualité . La différence entre la date de rédaction et la date d'envoi est généralement due aux corrections et relectures par les différentes personnes ayant participé à la conférence. 29 mai et 3 juin 2003 - Rédaction du compte-rendu 4 juin 2003 - Envoi aux abonnés de la veille en actualité 19 janvier 2004 - Publication sur le site web d'HSC
	Auteur		Hervé Schauer (Herve.Schauer@hsc.fr)
	Langue et Nature
	Résumé & Table des matières		Conférences Salon Études et statistiques sur la sinistralité informatique en France
	Documents liés
	Droits d'auteur		© 2003, Hervé Schauer Consultants, tous droits réservés.

Infosec s'est déroulé à Paris du 28 au 30 Mai 2002, avec un cycle de conférences payantes, un salon, et la présentation de l'enquête sur la sinistralité du Clusif.

HSC n'a pas eu l'opportunité de suivre les conférences Infosec. Le programme de ces conférences était limité. L'assistance a été clairsemée. L'organisateur n'avait pas reconduit les tutoriels proposés l'année précédente.

Le Salon a également été le reflet de la morosité du marché avec peu d'affluence, peu de grands comptes, beaucoup de visiteurs distribuant leur CV et plusieurs exposants déçus.
Le salon s'illustre cependant par deux éléments. D'une part l'infogérance de la sécurité est le secteur en croissance, et plusieurs exposants en témoignaient. D'autre part un nouveau type de logiciel fait son apparition en force : les systèmes de sécurité distribués sur les PCs de l'entreprise, avec de nouveaux acteurs.

L'infogérance de la sécurité s'est fortement développée. La société anglaise Qinetiq, qui travaille depuis 10 ans pour le gouvernement britannique se déploie sur l'Europe et arrive en France.

Les systèmes de sécurité distribués sur les PCs proposent un firewall, anti-virus, voir un chiffrement des messages, sur les PCs de l'entreprise, avec un contrôle central. Ainsi l'administrateur a l'impression de configurer sa politique de sécurité dans un système, et cette politique est distribuée dans les PCs. Si le PC est à l'extérieur du réseau de l'entreprise, seul le VPN chiffré vers le réseau de l'entreprise sera autorisé. Si le PC est connecté au réseau de l'entreprise, il aura automatiquement une politique différente qui lui donnera accès à toutes les ressources du réseau auxquelles il doit avoir accès.
Deux sociétés qui étaient visibles pour la première fois proposaient ce type de logiciel : la société suisse Trade Winds Solutions avec le produit Securitytour, et la société française Sistech, avec le produit Thegreenbow. HSC n'a pas eu l'opportunité de tester ces logiciels.

Deux autres nouveautés avec Arraynetworks qui propose des boîtiers, dont un avec un relais HTTP en entrée qui entre en concurrence avec les produits d'Axiliance et Deny-All, et Oxyan (qui n'était pas exposant), une nouvelle société lyonnaise qui propose un boîtier firewall qui intègre toutes les fonctions en une seule boite.

Pour en savoir plus :

• Le web d'Infosec : http://www.mci-salons.fr/infosec/
• Arraynetworks : http://www.arraynetworks.net/
• Oxyan : http://www.oxyan.com/ : Le site n'existe plus.
• Qinetiq : http://www.qinetiq.com/
• Securitytour : http://www.securitytour.com/st/ : Le site n'existe plus.
• Sistech : http://www.sistech.fr/
• Thegreenbow : http://www.thegreenbow.fr/
• Trade Winds Solutions : http://www.tradewinds-solutions.com/ : Le site n'existe plus.

Dans le cadre du salon le Clusif a présenté les résultats de son étude sur la sinistralité en France dans une conférence de presse, ainsi que dans une réunion Clusif le 3 Juin 2002.

Le Clusif fait appel à un cabinet spécialisé qui s'engage à une confidentialité absolue pour réaliser cette enquête. Pour 2001, les interviews en face à face on été supprimées, car ce processus n'apportait rien par rapport aux moyens classiques. Le téléphone a été privilégié car les interlocuteurs sont plus prolixes, car ils n'écrivent rien.
Cela a permis d'augmenter l'échantillonnage pour atteindre 608 entreprises et 31 collectivités publiques, qui ont effectivement répondu sur le questionnaire. Les réponses incomplètes ou inexploitables n'ont pas été prises en compte.

L'enquête fait apparaître les éléments suivants :

• Le secteur industriel est de plus en plus dépendant au système d'information.
• Le nombre de personnes dédiées à la sécurité est en augmentation avec en moyenne 7,7 personnes dans les entreprises de plus de 1000 personnes.
• Dans les grands comptes l'identification d'un budget sécurité devient infaisable car la démarche sécurité est intégrée dans tous les projets.
• Le logiciel anti-virus est la solution de sécurité la plus déployée, et pourtant les entreprises redoutent en premier lieu les virus.
• Le seul secteur en croissance est la sécurité physique.
• La mise en place d'un plan de continuité d'activité n'est pas ressorti du questionnaire. Il est possible que le questionnaire n'ai pas été suffisamment clair sur ce point, car les fournisseurs du Clusif s'accordent pour constater une vraie sensibilité nouvelle à la continuité d'activité de la part des grands comptes.
• La plupart des entreprises qui sont conscientes d'être insuffisamment protégées ne comptent cependant pas se protéger
• Les entreprises sont de plus en plus dépendantes de sociétés externes
• La majorité des attaques externes viennent d'employés de l'entreprise

Les conclusions du groupe de travail du Clusif sur cette enquête :

• Les entreprises n'ont pas de tableau de bord d'impacts. Elles ne sont pas en mesure d'évaluer les coûts d'un sinistre informatique
• Les entreprises n'ont pas de moyens de mesurer les impacts financiers d'une attaque logique
• La perception du niveau des prospections et des risques convergent entre collectivités publiques et entreprises
• Les entreprises sont attentistes : par exemple elles attendent que la base de signature se mettent à jour toute seule, elles attendent que le firewall se mette à jour tout seul, etc

Pour en savoir plus :
L'étude du Clusif est en ligne sur le site du Clusif www.clusif.asso.fr.