en partenariat avec - global security mag online...hors série n 002 – octobre 2008 et issn : 1961...

EN PARTENARIAT AVECEN PARTENARIAT AVEC

Hors série N°002 - Prix : 5 € - octobre 2008

19 ET 20 NOVEMBRE 2008 PARC DES EXPOSITIONS - PORTE DE VERSAILLES

© S

lavo

ljub

Pant

elic

2 Un projet d’IAM doit impliquer l’ensemble des utilisateursPar Christophe Tallot, et David Luponis, Mazars

4 Une gestion des identités alignée sur les processus métierInterview de Hassan Maad, Evidian

5 Votre IT peut devenir un centre de servicesInterview de Frédéric Pierresteguy, Avocent-LANDesk

6 La sensibilisation : le vaccin de la sécuritéInterview de Christophe Chaumont, Natixis

8 Le challenge de la sécurité est la flexibilitéInterview de Jean-Michel Craye,Orange Business Services

9 Orange accompagne la mise en œuvrede PCI DSSPar Herve Troalic, Orange Business ServicesSolution de trading: concilier continuitéet flexibilitéInterview de Thierry Charvet, Orange Trading Solutions

10 Dématérialisation et archivage électronique : pour une plus grande efficacité des échangesPar Jean-Marc Rietsch, FedISA

12 Externalisez la sauvegarde de vos données en toute sécuritéInterview d’Olivier Mauras, Beemo Technologie

13 « Nous vous proposons un passeport pour l’économie numérique »Interview de Thierry Blanc, STS Group

14 La sauvegarde est l’assurance vie de votre entrepriseInterview de Frédéric Bouzy, Iron Mountain Digital

SOMMAIRE

Hors série octobre 2008 spécial Banque & Assurance

REVUE TRIMESTRIELLEHors Série n°002 – Octobre 2008

www.globalsecuritymag.fr etwww.globalsecuritymag.com

ISSN : 1961 – 795XDépôt légal : à parution

Editée par SIMPRCS Nanterre 339 849 648

17 avenue Marcelin Berthelot92320 Châtillon

Tél. : +33 1 40 92 05 55Fax. : +33 1 46 56 20 91

e-mail : [email protected]

RÉDACTIONDirecteur de la Publication :

Marc BramiRédacteur en chef :

Marc JacobRédactrice :

Emmanuelle LamandéAssistante :Sylvie Levy

Responsable technique :Raquel Ouakil

Photos :Marc Jacob

Comité scientifique :Pierre Bagot, Francis Bruckmann,

Eric Doyen, François Guillot, Mauro Israël, Olivier Iteanu,

Dominique Jouniot, Patrick Langrand, Yves Maquet,

Michel Van Den Berghe,Thierry Ramard, Hervé Schauer, Wayne Sutton, Catherine Gabay,

Zbigniew Kostur.

PUBLICITEReed Expositions

Alexandra ColbeauTél. : +33 1.47.56.65.44

[email protected] Jamila El Aidi

Tél. : +33 [email protected]

PAOImadjinn sarl

Tél. : 02 51 53 01 46e-mail : [email protected]

IMPRESSIONImprimerie Hauguel

8-14 villa Léger92240 Malakoff

Tél. 01 41 17 44 00Fax 01 41 17 44 09

e-mail : [email protected]

ABONNEMENTPrix du numéro Hors Série :

5 € TTC (TVA 19,60%)Abonnement annuel au magazine :

50 € TTC (TVA 19,60%)

19 ET 20 NOVEMBRE 2008PARC DES EXPOSITIONS - PORTE DE VERSAILLES

3

ÉDITOL’arbre ne doit pas cacher la forêt

La crise qui secoueactuellement le secteurfinancier ne doit pasocculter la nécessitépour les entreprises de ce domaine de continuer à œuvrer pour

améliorer leurs processus en matière desécurité et de stockage. En effet, il est quasiment sûr, à ce jour, que les banqueset les assurances arriveront à se tirer dumauvais pas dans lequel elles se sont misespar des stratégies de placements risqués.Par contre, la COB et l’opinion publiqueauront sans doute moins de mansuétudesi des manquements en matière de sécurité ou d’archivage apparaissent ànouveau. Une deuxième affaire Kerviel nesera sans aucun doute plus tolérée. Ainsi,il est primordial que les dirigeants et lesRSSI de ces entreprises continuent à travailler et à investir afin de protégerleurs établissements et leurs clients contreles attaques des pirates informatiques. Eneffet, ils doivent peut-être redouter qu’enplus des escroqueries habituelles, les « déçus » du système ne se déchainentpour se venger des pertes financièresqu’ils auront essuyé… l’arbre de la crisefinancière ne doit donc pas cacher la forêtde la sécurité informatique…

Marc Jacob© Slavoljub Pantelic

LISTE DES ANNONCEURSInfosecurity & Storage 2ème de couvertureMcAfee 4ème de couvertureNokia 3ème de couvertureKroll Ontrack Page 15

ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com

La gestion des identités ou IAM(Identity and Access Management), etpar extension des droits d’accès, apour objectif de fédérer la gestion del’ensemble des identités et droitsd’accès d’un utilisateur du systèmed’information de son entreprise.Pour être complète, la solution degestion des identités doit s’appréhen-der suivant 4 axes :■ L’authentification, dont les méca-nismes permettent de s’assurer de lavalidité de l’identité déclarée par unepersonne. Il s’agit, par exemple, d’unnuméro de code PIN, de certificatsnumériques (PKI), d’authentificationdite forte (type SecurID), de biomé-trie, de cartes à puce virtuelles, depasseport électronique...■ Les contrôles d’accès pour lesquelsil s’agit de s’assurer que les utilisa-teurs n’ont accès qu’aux applications,ou ressources, auxquelles ils ontdroit. Aussi connus sous l’appellation« Infrastructure de gestion des privi-lèges », ils permettent, par exemple,de fournir un service de Single Sign-On (SSO) pour lesapplications Web etpermettent égale-ment de réduire lescoûts d’exploita-tion associés.■ La gestion desut i l i sateur s ou « provisioning »est le terme décri-vant les technolo-gies de gestiond’un grand nombred’utilisateurs. Elles’appuie le plus

souvent sur des processus automati-sés en temps réel ou « workflow »qui donnent les droits d’accès à tou-tes les applications nécessaires à unnouvel entrant dans la société pourexercer son activité.Ce provisioning doit permettre degérer le cycle de vie d’un utilisateursur le système d’information,depuis son embauche, et donc del’affectation de ses premiers droitssur les applications, jusqu’à sondépart (De-provisioning) – et doncla suppression de ses habilitations,en passant par ses changements depostes (Re-provisioning) ayant unimpact sur les droits aux applica-tions et les données accessibles. Ilen est de même pour tout nouveaupartenaire ou client. Les fonction-nalités des outils utilisés pour cettegestion peuvent être centralisées oudéléguées aux utilisateurs.■ L’annuaire utilisateur d’entreprisequi permet de stocker, en toute sécu-rité, des informations relatives auxutilisateurs, et en particulier leurs

profils. Les accès à l’annuaire sontréalisés au moyen du protocole stan-dard LDAP (Lightweight DirectoryAccess Protocol).

Le passage d’un système informati-que centralisé (fin des années 70jusqu’à la fin des années 80), qui, àl’époque, permettait la centralisa-tion des identités et des droits d’ac-cès (grâce aux applications RACF etTopSecret, par exemple) vers dessystèmes d’informations ditsouverts, a engendré la multiplica-tion des services et des serveurs afinde répondre au mieux aux attentesdes utilisateurs. Quand, par le passé, un collaborateurutilisait un identifiant unique afind’accéder à des applications transac-tionnelles, ce même utilisateur seretrouve aujourd’hui avec quasimentautant d’identifiants que d’applica-tions ou de données accessibles. Evidemment, lors du départ ou lorsd’un changement de poste au sein del’entreprise, l’absence de gestion cen-tralisée, du système d’information,ne permet pas d’optimiser l’identitéet les accès du collaborateur, ce der-nier pouvant être identifié sur cer-tains systèmes par un code d’entre-prise unique, par exemple son codeemployé, ou bien par des identifiantsplus facilement reconnaissables, par exemple, « pierre.dupont » ou « pdupont », ou encore par des identifiants sans rapport avec son identité, par exemple, « user1 »,« maîtrise_ouvrage_4 », « responsa-ble_BO ».Cette multiplication des identifiants,

Il n’y a pas si longtemps, le challenge consistait à maintenir les clients, les fournisseurs et le personnel hors du système d’information.Aujourd’hui, il s’agit de les y intégrer pleinement enadministrant des profils et surtout en « donnant aux bonnes personnes les bons droits d’accès, au bon moment ».

19 ET 20 NOVEMBRE 2008PARC DES EXPOSITIONS PORTE DE VERSAILLES

4

Par Christophe Tallot, Senior Manager Management du Contrôle Interne, Mazars David Luponis, Manager Management du Contrôle Interne, Mazars

Christophe Tallot

David Luponis

UN PROJET D’IAMDOIT IMPLIQUER L’ENSEMBLE DESUTILISATEURS

combinée aux droits d’accès afférents à chacun de cescomptes, ne permet donc pas une gestion efficace des uti-lisateurs et de leurs droits sur le système d’information del’entreprise ce qui limite évidemment la traçabilité et lespossibilités d’audit, les systèmes ne suivant pas les tracesde la même façon, ou pire encore, ne permettant pas tou-jours d’identifier les actions des utilisateurs.

La gestion des identités doit s’inscrire dans unprojet de sécurité et de gestion des risques

Depuis le début des années 2000, les solutions techno-logiques ont relativement peu évolué et sont mainte-nant très semblables. Par contre, ce secteur a connuune forte concentration des éditeurs. Mais si ces derniers mettent en avant « leurs suites technologi-ques », la gestion des identités est avant tout un projet organisationnel et fonctionnel qui impliquesouvent une gestion des changements importante au sein de l’entreprise. La gestion des identités ne prend tout sens que si elles’inscrit dans un projet plus large de sécurité et de ges-tion des risques de l’entreprise. Comme nous le mon-tre la dernière enquête du Clusif (1), la gestion de lasécurité des entreprises françaises est rentrée dans uncycle de maturité. La première étape consistait à seprémunir des attaques externes. La seconde est de seprotéger contre les agressions internes, représentantaujourd’hui 80% des incidents de sécurité, commenous l’ont prouvé les récents évènements dans lemilieu bancaire.

Dans ce contexte, et à l’heure des réductions de coûtsdes fonctions support, ainsi que grâce à la prise encompte de la sécurité au sein des projets, notammentpour les entreprises se conformant à la norme demanagement de la sécurité des systèmes d’informa-tion « ISO 27000x », un nombre croissant de banques,instruit des projets ou des « proof of concept » surl’intégration de la gestion des identités et des droitsd’accès dans leur système d’information.

Ces projets, comme tant de projets d’entreprise, ontune incidence sur les Directions informatiques, en cequi concerne les choix techniques, d’intégration et desupport, mais également des Directions métiers surdes aspects fonctionnels et notamment l’expressiondes besoins en terme de matrice des droits d’accès auxapplications et aux données.

Ainsi, un projet de cette nature pris uniquement sousl’angle technologique aurait peu de chances d’aboutirà un succès, tant le mécontentement des utilisateursserait grand. Il mènerait immanquablement à la miseen place d’infrastructures ou de solutions de contour-nement des mesures édictées par la seule Directioninformatique.

L’implication des utilisateurs et des experts techniquesau sein d’un projet de mise en œuvre d’un IAM est lagarantie que les différents besoins, tant fonctionnelsque techniques, seront correctement pris en compte.

A ce jour, notre expérience, tant en audit des systèmesd’information qu’en conseil, nous amène à constaterque l’intégration d’IAM, au sein de Groupes bancaires,

est réalisé en pre-mier lieu sur desentités nationalesou régionales – lemême projet au niveau international semblant êtreune tâche souvent « pharaonique » pour couvrir l’en-semble des utilisateurs et des applications.

Néanmoins, la mise en œuvre de tel chantier peut s’ef-fectuer au sein de structures bancaires internationalespar l’intermédiaire d’applications Groupe qui regrou-pent une population fonctionnelle d’utilisateurshomogène et plus restreinte (par exemple trésorerie,contrôle de gestion, comptabilité centrale, etc.).

Les banques françaises sont loin d’avoir atteintla maturité de leurs homologues étrangères

Dans de nombreux groupes bancaire, cette intégrationfait suite à la nécessité de prendre en compte la sécu-rité, et donc l’IAM comme premier accès vers le sys-tème d’information, dans le cycle de vie des projets etdonc de l’entreprise. Nous avons pu constater lors denos interventions que les phases les plus importantesde cette intégration ne sont pas des étapes techniques,mais bien les étapes de recensement des utilisateurs,de leurs identifiants, des applications et des droits quiy sont liés. Par ailleurs, en France, les banques, en particulier,sont loin d’avoir atteint la maturité de leurs homolo-gues à l’étranger. La maturité des sites de e-bankinghexagonaux est à ce titre révélatrice : authentificationpar simple mot de passe en France, alors qu’en Suisse,par exemple, l’authentification doit se faire à partird’une SecureID nettement plus efficace.

Les objectifs des entreprises ayant fait le choix de cen-traliser leur gestion des identifiants et des droits d’ac-cès sont multiples et nous pouvons notamment citer :un support plus efficace notamment dans la gestion lacréation d’identifiants et l’affectation de privilèges, des coûts d’exploitation réduits notamment parce quela centralisation permet en quelques clics à un admi-nistrateur de suspendre les droits d’accès d’un utilisa-teur au système d’information une traçabilité desactions plus rigoureuse, et évidemment une évolutiondu niveau de sécurité du système d’information del’entreprise en garantissant des contrôles de premierniveau.

Les contraintes réglementaires liées à SOX, ou à Bâle2,pour les groupes bancaires, et Solvency2 pour les com-pagnies d’assurances, ou plus simplement le respectdes recommandations, faites au sujet de la gestion desaccès par ITIL V3, poussent les entreprises à quantifieret à qualifier leurs risques opérationnels, en précisant,entre autres, la sécurité du système d’information etl’accès à cet environnement.

L’IAM peut jouer ce rôle, s’il est géré convenablement,et peut devenir un facteur clé dans les contrôles appliqués aux systèmes d’information, tout en permet-tant aux entreprises de minimiser les risques liés à la gestion des utilisateurs et de leurs accès. ■ ■ ■


SPECIAL Banque & Assurance

5

(1)Enquête duClusif édition2008, intitulée« Menacesinformatiqueset pratiques de sécurité enFrance »

© Slavoljub Pantelic


Global Security Mag : Pouvez-vousnous présenter votre entreprise ?

Hassan Maad : Evidian est un édi-teur de logiciels de sécurité, spécia-lisé dans les solutions de gestion desidentités et des accès. Nous propo-sons aussi des logiciels pour garantirle niveau de service et la haute dispo-nibilité des systèmes et applications.

Premier éditeur européen de logicielsd’IAM, Evidian commercialise sesproduits dans le monde entier etcompte parmi ses 600 clients, denombreuses entreprises des Fortune500 et des grandes administrations.Nous sommes présents à travers unréseau de partenaires et de distribu-teurs sur l’Europe, l’Asie et depuis ledébut de l’année aux Etats-Unis. Prèsde 2.000.000 d’utilisateurs dans lemonde se connectent tous les jours àleurs applications avec des logicielsde sécurité Evidian. Nous sommesune filiale du Groupe Bull aveccomme actionnaires Bull et NEC.

GS Mag : Quel est votre produitphare pour 2008-2009 ?

Hassan Maad : Notre produit pharepour 2008-2009 est IAM Suite 8. Nousavons réalisé un focus très importantdans le domaine des solutions degestion des identités et des accès.L’IAM est devenu une priorité pournos clients, en particulier dans lesbanques et institutions financières.Nos solutions leur permettent degérer les risques liés à des accès mal-veillants au système d’informations.Parmi les grands succès de cetteannée, nous avons noté une fortecroissance de la demande pour desmodules d’entrée permettant un

retour rapide sur investissement telsque le SSO d’entreprise. La prioritéest alors de s’assurer de l’identité desutilisateurs du SI, avec des moyenssûrs d’authentification. De nouveauxmoyens qui peuvent aussi remplacerla multitude de mots de passe encorenécessaire dans beaucoup de systè-mes. Nous offrons la possibilité à nosclients de déployer la biométrie, lacarte à puce, ou encore des badges deproximité… Nous constatons qu’il estbeaucoup plus simple de construireun nouveau système de gestion desidentités par étapes. De même, endémarrant par une gestion efficacedes accès, on obtient des résultats trèsrapides sur le plan de la connaissancede « qui accède à quoi ».

L’IAM n’est pas qu’un enjeutechnique, mais une question

organisationnelle

GS Mag : Quels sont les principauxconseils que vous donnez à vosclients qui souhaitent démarrer ledéploiement d’une solution d’IAM ?

Hassan Maad : Il me semble quelà, plus qu’ailleurs, il faut que les exi-gences des utilisateurs et du métiersoient les points de départ de toutprojet d’IAM. Il s’agit là de repères quidoivent guider toute approche demise en œuvre. Nous voyons encoredes projets d’IAM qui sont des pro-longements de la construction d’an-nuaires centralisés. La gestion desidentités et des accès est loin den’être qu’un enjeu technique, bienau contraire, c’est avant tout un pro-jet organisationnel qui répond à desexigences du métier de l’entreprise etse trouve rapidement au cœur de sesprocessus.

GS Mag : Quels sont les principalesréférences dans le milieu des insti-tutions financières ?

Hassan Maad : Nous avons des suc-cès dans plusieurs institutions finan-cières en France, en Europe, au Japonet plus récemment aux Etats-Unis.Parmi nos références, une grandebanque centrale en Europe, une despremières banques du Japon, unorganisme international de gestiondes transferts. Par exemple, Barclaysutilise nos solutions pour permettreune authentification unique par bio-métrie des utilisateurs.

GS Mag : Pour conclure quel estvotre message à nos lecteurs ?

Hassan Maad : Les régulations etles contrôles vont de plus en plusse renforcer. La demande de trans-parence financière a déjà fait naî-tre des textes comme SarbanesOxley, Bâle II... Et les crises répétiti-ves que nous vivons actuellementsoulèveront des appels à encoreplus de clarté sur l’usage de nossystèmes d’informations. Il estalors important que la sécurité nesoit pas un frein à l’agilité des orga-nisations. Ainsi, les solutionsd’IAM, en particulier, sont de véri-tables outils de contrôle internealignés sur les processus métier del’entreprise. ■ ■ ■

Evidian, fort de 2 millions d’utilisateurs de ses produitset 600 clients, est le leader européen de la gestion des identités et des accès (IAM).Face aux nouveaux enjeux en termes de sécurité, toutes les entreprises et en particulier les institutions financières déploient des solutions d’IAM. Hassan Maad,Directeur Général d’Evidian, estime que la gestion des identités est avant tout unprojet organisationnel qui doit répondre aux exigences du métier de l’entreprise. Elledoit permettre d’améliorer les processus métier tout en assurant un contrôle des accès.


6

Hassan Maad

Interview par Marc Jacob

UNE GESTION DESIDENTITÉS ALIGNÉE SUR LES PROCESSUS MÉTIER

HASSAN MAAD, EVIDIAN :



7

Global Security Mag : Pouvez-vous nous présentervotre entreprise ?Frédéric Pierresteguy : Avocent est le spécialiste de lagestion des infrastructures du Data Center au poste de tra-vail. Nous offrons des solutions de connectivité et d’admi-nistration des périphériques du SI : poste de travail, ser-veurs, PDA, équipements réseaux… Notre société d’ori-gine américaine compte environ 1900 personnes dans lemonde pour un CA de 620 millions de $. LANDesk est ladivision logiciels et services. Elle fonde son offre sur lessolutions d’administration de parc, de gestion de la sécu-rité sans oublier la gestion fonctionnelle au sens d’ITIL.

GS Mag : Quel est votre produit phare pour 2009 ?Frédéric Pierresteguy : En fait, nous avons plusieurs pro-duits phares pour lequesls nous continuons à développerde nouvelles fonctions répondant à l’attente du marché.D’ailleurs, LANDesk a toujours été à la pointe de l’innova-tion et est reconnu comme leader dans la gestion du cyclede vie du parc informatique par le Gartner dans son « MagicQuadrant ». Ces produits phares s’articulent autours detrois grandes gammes de produits : - LANDesk Management suite (LDMS), offrant une admi-nistration centralisée des operations IT pour l’inventaire,la télédistribution, la gestion des licences, le déploiementd’OS et la prise de main à distance.- LANDesk Security Suite, se reposant sur la console LDMSet offrant une centralisation et une politique globale de lasecurité des postes de travail (antivirus, antispyware, ges-tion et encryption des ports USB, blocage d’application,mise en quarantaine, analyse comportementale, etc.).- LANDesk Services Desk, Business Process Manager etAsset Life Cycle Manager. Ces produits offrent un outillagepour automatiser et optimiser les services aux utilisateursdans une démarche complètement ITIL.Ces trois gammes de produits peuvent fonctionner sépa-rément, pour répondre à des besoins précis, ou de concertà partir d’une console d’administration commune. A par-tir de ce moment là, nos clients ont un outillage completpour optimiser l’exploitation de leur parc, sécuriser leurressources IT et apporter un service à leurs utilisateurs res-pectueux d’ITIL avec des tableaux de bord, des rapports etune automatisation complète des processus (workflow)supprimant l’erreur humaine. Nos clients font ainsi évo-luer leur IT vers un centre de service démontrable etpérenne, où les coûts sont définis et limités.

GS Mag : Quels sont les principaux conseils que vousdonnez à vos clients en termes de mise en œuvre destratégie de gestion de parc informatique ?

Frédéric Pierresteguy : Ils doivent, en premier lieu,identifier l’ensemble de leur assets à l’aide d’outils techni-ques et dynamiques de gestion de parc. Cette premièredémarche leur permettra de maîtriser leur parc et d’appli-quer de façon automatisée les bonnes procédures sécu-rité, système et services aux utilisateurs. La gestion quoti-dienne et l’évolution du parc se feront ensuite par la miseen place de bonnes pratiques ITIL, à l’aide de solutions deService Desk, d’Asset Management et de Businesss ProcessManager. Elles assureront une meilleure qualité de servi-ces aux utilisateurs ainsi qu’une meilleure automatisationdes process d’exploitation du système d’information.

Une bonne gestion de parc passe par la miseen œuvre d’outils techniques et de process pour

suivre dynamiquement l’évolution du SI.

GS Mag : Quelles sont vos principales références dansle milieu des institutions financières?Frédéric Pierresteguy : Nous en avons plusieurs tantdans les banques que dans les assurances. Je peux citer,par exemple, Cofidis, La Banque postale, iBP, la Matmut,la Cie Financière Rotschild, Gras Savoye, SCOR…

GS Mag : Pour conclure, quel est votre message à noslecteurs ?Frédéric Pierresteguy : Avocent-LANDesk, à l’écoute deses clients et du marché, continue à innover pour appor-ter des solutions performantes autour de la gestion desinfrastructures dans un objectif constant de réduire lescoûts d’exploitation associés. La suite LANDesk vous per-met de couvrir l’ensemble des problématiques desbesoins en ressource IT et non IT dans le domaine de lagestion de parc. Nous accompagnons nos clients pourtransformer leur IT en un centre de services. ■ ■ ■

Avocent est un des acteurs principaux de la gestion des infrastructures IT jusqu’auposte de travail. En intégrant LANDesk, devenue sa division logiciels et services, elle offre la possibilité aux entreprises de mieux connaître et maîtriser leur parc IT et non IT. Frédéric Pierresteguy, DG EMEA Sud Avocent-LANDesk, estime que ses solutions permettent aux entreprises de dynamiser leurs processus et ainsi de transformer leur IT en un centre de services.

VOTRE IT PEUT DEVENIRUN CENTRE DE SERVICES

FRÉDÉRIC PIERRESTEGUY, AVOCENT-LANDESK :

Date de création : 2000

Collaborateurs : 1900 CA : 620 millions de $

Solutions : Management des opérations IT, Management desProcessus, Management des Incidents et Problèmes, et Managementdes changements et des configurations

Principales références :Cofidis, La Banque postale, iBP, la Matmut, la Cie Financière Rotschild,le Crédit Agricole Asset Management, la Société Générale AssetManagement, Gras Savoye, SCOR...

FICHE ENTREPRISE

Interview par Marc Jacob Sergio Ribeiro - Frédéric Pierresteguy


Global Security Mag : Pouvez-vous nous présentervotre entreprise ?

Christophe Chaumont : Natixis est le partenaire ban-caire de ceux - entreprises et institutionnels - qui construi-sent le monde de demain. Pour eux, les experts de Natixisinterviennent dans cinq domaines complémentaires : labanque de financement et d’investissement, la gestiond’actifs, le capital investissement et la gestion privée, lesservices et la gestion du poste clients.Coté en Bourse, et filiale de deux grands groupes bancaires, Banque Populaire et Caisse d’Épargne, quidétiennent chacun plus de 34 % de son capital.

GS Mag : Quelle est la taille de votre système d’information ?

Christophe Chaumont : La banque de financement etd’investissement de Natixis utilise plusieurs centainesd’applications. La plupart d’entre elles sont constituées deprogiciels, mais nous avons également des applicationsmaison, des applications « gros systèmes » et des applica-tions externes, comme les plates-formes de négociationélectronique, accessibles via internet.

Les actions de sensibilisation permettent de rappeler les principales règles

en matière d’utilisation de SI

GS Mag : Dans un établissement bancaire où le personnel est généralement sensibilisé aux problèmesde sécurité, à quoi sert de mener des campagnes desensibilisation sur la sécurité ?

Christophe Chaumont : Dans un établissement bancaire, les systèmes d’information sont un des maillonsles plus délicats pour la sécurité, même si les acteurs et lesutilisateurs y sont très sensibilisés.Il est donc aussi important de mener des campagnes desensibilisation à la sécurité que d’avoir des éléments deparade technique car aucune porte, même blindée, ne per-met une sécurité à 100 %. Ces campagnes permettent derappeler les règles principales de la politique de sécurité defaçon ludique et de réviser les bonnes pratiques ou règlesd’usage en matière d’utilisation des systèmes informatiques

mis à disposition des collaborateurs de la banque.

GS Mag : Utilisez-vous des outils de sensibilisation dumarché ?

Christophe Chaumont : Notre périmètre internationalnous a amené à faire une étude sur les différents outils desensibilisation du marché pouvant s’intégrer à notreIntranet sécurisé, et qui, grâce à leur grande flexibilité, nouspermettait de faire personnaliser nos messages. Après plu-sieurs tests, notre choix s’est porté sur CCI (un outil qui pro-pose des scénettes de sécurité) et Sensiquiz un question-naire à choix multiple de l’éditeur Conscio Technologies. L’éditeur nous a accompagné dans la mise en place del’outil et nous a apporté toute son expertise pour réussirl’intégration du produit dans notre système d’informationet tenir compte de notre charte graphique.

GS Mag : Comment se déroulent vos campagnes desensibilisation ?

Christophe Chaumont : L’objectif de notre campagne desensibilisation est, dans un premier temps, de connaître leniveau de connaissance de nos collaborateurs afin demieux cibler nos plans d’action.Pour toucher un maximum de personnes des « Matinéesde la sécurité » en avril 2008, pendant lesquels des PC àdisposition permettaient aux personnes de venir répon-dre à un questionnaire de 5 minutes, non nominatif. Ceformat était parfaitement adapté à la population des sal-les de marchés, habituée à beaucoup de réactivité.Nous n’avons pas oublié les informaticiens, pour qui nousavons réalisé un quiz un peu plus technique, et auquelplus de 20 % de nos informaticiens internationaux ontparticipé à l’événement.Afin de récompenser chaque personne, un mug avec unmessage de sécurité « N’oubliez pas de verrouiller votreposte de travail lorsque vous allez prendre un café » étaitremis à chacun.

GS Mag : Quels sont les principaux thèmes que vous avez abordé lors de votre campagne de sensibilisation ?

Christophe Chaumont : Notre campagne de sensibilisa-

Christophe Chaumont est responsable de la sensibilisation à la sécurité des Systèmes d’information de la BFI chez Natixis. Il vient de mener une campagne de sensibilisation sur le site parisien de son établissement. Grâce à un quiz ludique de 5 minutes, il a pu obtenir des résultats satisfaisants. Pour lui, la sensibilisation, c’est comme les vaccins, les rappels doivent être réguliers.


8

Interview de Christophe Chaumont, responsable de la sensibilisation à la sécurité des Systèmes d’information de la BFI chez Natixis, par Marc Jacob

Christophe Chaumot

LA SENSIBILISATION :LE VACCIN DE LA SÉCURITÉ



9

tion s’est calquée sur les grands thèmes de notre politique de sécurité.Voici quelques exemples de questions :

■ POUR LES UTILISATEURS :Sur le poste de travail« Vous souhaitez installer un logiciel supplémentaire survotre poste de travail comment faites-vous ? »Sur le thème de la responsabilité« Vous transmettez à un ami qui en a besoin dans son tra-vail la structure des bases de données de votre entreprise.Que risquez vous ? »

■ POUR LES INFORMATICIENS :Architecture et mécanisme de sécurité « Sous quelle forme doivent être échangées les donnéesentre une plateforme électronique de marché et unréseau non securisé (Internet) ? »Traces « A quelle fréquence doivent être analysées les traces ? »

GS Mag : Avez-vous rencontré des réticences de la partde votre personnel ?

Christophe Chaumont : Cette campagne était faite sur labase du volontariat. Le côté ludique et peu consomma-teur de temps a été très bien perçu par l’ensemble de lapopulation. Le cadeau était le petit plus qui nous a permisde sensibiliser un maximum de collaborateur.Bien sûr la direction avait été informée de cette campa-gne ; certains directeurs ont même participé au test.Pour un tel événement sur plus de 5 sites parisiens,nous nous sommes appuyés fortement sur notre servicede communication pour relayer l’événement via nosmédia internes (messages électroniques, sites intranet,campagne d’affichage).Ce travail commun avec les différents services a

permis cette réussiteet l’adhésion du personnel.

GS Mag : Avez-vous, à ce jour,mesuré l’impact de votre campagne de sensibilisation ?

Christophe Chaumont : Le bilan de cette campagne estplus que satisfaisant. Nous avons touché plus de 25 % dela population parisienne, et 10 % à l’international Ellenous a permis de faire un premier bilan du niveau deconnaissance pour l’ensemble des collaborateurs : plusde 65 % des collaborateurs connaissent les règles sur l’uti-lisation d’internet et de la messagerie.Mais des améliorations doivent être faites sur la responsa-bilité des personnes vis-à-vis des données et l’utilisationdes moyens informatiques mis à leur disposition. Des for-mations au Plan de continuité des activités, devront êtrefaite pour parfaire leurs connaissances.

Pour nous la sensibilisation à la sécurité est vitale. Commeles vaccins, des rappels périodiques sont nécessaires pourne pas perdre notre sensibilité aux risques. ■ ■ ■

Natixis BFIChristophe Chaumont

Fonction : responsable de la sensibilisation à la sécurité des Systèmes d’information de la BFI chez Natixis

Taille du SI : 750 applications

FICHE ENTREPRISE


A VOS AGENDAS !19 NOVEMBRE 2008 - SALON INFOSECURITY

EVENEMENT DEDIE A LA SECURITE INFORMATIQUE DANS LE SECTEUR DES BANQUES ET ASSURANCES !

La sécurité informatique dans les banques et assurances est plus que jamais d’actualité, nous vous proposons une journée au cœur de ces problématiques stratégiques !

9H30 – 10H15 : CLUSIFENJEUX DE LA SÉCURITÉ DANS LE SECTEUR DE LA BANQUE ET DE L'ASSURANCE.Présentation des résultats sur l’étude « MenacesInformatiques et Pratiques de Sécurité en France » dans lesecteur bancaire et assurance !

10H15 – 11H45 : EVIDIAN MAÎTRISER LES RISQUES OPÉRATIONNELS AVEC LA GESTION DES IDENTITÉS ETDES ACCÈS.Présentation des résultats sur l’étude « Menaces Informatiqueset Pratiques de Sécurité en France » dans le secteur bancaireet assurance !La gestion du cycle de vie des accès des employés est néces-saire pour maîtriser les risques opérationnels. En s'appuyantsur le retour d'expérience de banques européennes et surune étude de Datamonitor sur la gestion des identités et desaccès en secteur bancaire, Evidian présente une approchepragmatique pour réduire les risques opérationnels.

11H45 – 12h30 : XMCO PartnersREAL LIFE : RAPPORT D'AUTOPSIES DE CAS RÉELS DE HACKING DANS LE MONDEBANCAIRE ET DE L’ASSURANCE.Trop souvent, la sécurité informatique et les attaques sontabordées de façon théorique. Nous présenterons ici 4 casréels de hacking où une entreprise s'est faite piratée. Nous

décortiquerons le mode opératoire du pirate et les actionsqu'il a pu réaliser en s'intéressant aux failles exploitées.Il s'agira d'un retour d'expériences sur des cas réels où lecabinet Xmco Partners a été amené à intervenir en tantqu'expert.

14H00 – 15H15 : Groupe E-BANQUE (FNTC)KIRVIEL", 2 KIRVIEL, 3 KIRVIEL : L’IDENTITÉ AU CŒUR DE LA CHAÎNE DESÉCURITÉ DE LA BANQUE.Les architectures sont de plus en plus hétérogènes, les utili-sateurs des applications métiers peuvent être internes ouexternes : dans ce contexte, une des problématiques majeu-res de sécurisation des systèmes d'informations est liée à lagestion des identités. Les différents cadres juridiques etréglementaires (SEPA, Anti-blanchiment, Bâle II...) mettentégalement l'identité au cœur de nombreux sujets. En s'appuyant sur un cas concret (solutions mises en placepour la sécurisation des accès au SI par les différentsacteurs: employés, partenaires, clients...) les différentsintervenants feront un résumé des principales problémati-ques auxquelles les DSI et RSSI des banques ont à faire face.

15H30 – 16H30 : GEMALTORETOUR D’EXPÉRIENCE SUR UN DÉPLOIEMENT DE BADGE D’ENTREPRISE SUPPOR-TANT L’IDENTIFICATION NUMÉRIQUE.


Global Sécurité Mag : Pouvez-vous nous présenter OrangeBusiness Services ?

Jean-Michel Craye : OrangeBusiness Services est la brancheentreprises du Groupe Orange. Ellepropose deux types d’activités quicouvrent le marché français etinternational : - le métier d’opérateur pour lesutilisateurs mobiles, les réseaux etles services de communication. - la partie services qui conçoit dessolutions sur mesure pour nosclients dans le domaine des grandsprojets d’infrastructure IT.

GS Mag : Quelle est votre offreen matière de sécurité ?

Jean-Michel Craye : Nous avonsune offre globale qui part du posteutilisateur avec des solutions d’au-thentification, de chiffrement etsécurité du poste de travail, en pas-sant par la sécurité des réseauxinter-sites et locaux (solution UTMet router sécurisé). Elle prend aussien compte la sécurité des datacen-ters avec la sécurité des applicationset la virtualisation. Notre réseauVPN vient d’être certifié a nouveaupar la DCSSI, pour toute la partiehors France.Pour être complet, OrangeBusiness Services accompagne sesclients par une démarche deconseils (certification PCI-DSS etISO 27000) qui est indispensable àla réussite de la mise en œuvre dela sécurité.

GS Mag : Quelles sont vos solu-tions phares pour 2008 ?

Jean-Michel Craye : L’année 2008 aété très riche, on peut citer : la pre-mière offre de Business Contuinuityde synchronisation de données : i-SAN entre deux datacenters, maisaussi le lancement de la premièregamme de router embarquant lasécurité native (Network Protect) ainsique la montée en puissance des solu-tions sécurité UTM « tout en un »Unified Defense.

GS Mag : Quelles sont les sujetsclés que vous allez aborder en2009 ?

Jean-Michel Craye : Nous allonsnous focaliser tout d’abord sur lasupervision de la sécurité. Nous abor-derons aussi la virtualisation commeoutils de renforcement de la sécurité.Bien sûr, la sécurité des postes noma-des, PC Portables et PDA et autresoutils de mobilité, ne sera pasoubliée. Enfin, nous prendrons encompte les problématiques de sécu-rité associées dans le contexte deconnexion aux datacenters (WEB 2.0,applications en ligne, etc).

Il est important de mettre en œuvre une architecture

souple et réactive

GS Mag : Quels sont les princi-paux conseils que vous donnez àvos clients ?

Jean-Michel Craye : En fait, le

chalenge de la sécurité estaujourd’hui la flexibilité. Elle doit s’adapter rapidement aux évolutions du monde financier etnon le freiner.Une bonne sécurité intègre rapide-ment de nouveaux utilisateurs, denouveaux sites ou de nouvellesactivités. Il est donc plus impor-tant de mettre en place une architecture souple et réactive,plutôt qu’une solution « parfaite »mais complexe à déployer et surtout à faire évoluer.

GS Mag : Quelles sont vos princi-pales références dans le milieudes institutions financières ?

Jean-Michel Craye : Je peux citerentre autre le Crédit Municipal deParis pour lequel nous avonsassuré la refonte et la virtualisa-tion de son informatique (parNéocles, filiale d’Orange BusinessServices). Nous travaillons aussiavec la plupart des grands groupes du monde de la banque et de l’assurance.

GS Mag : Pour conclure, quelserait votre message à votreclientèle ?

Jean-Michel Craye : La sécuritédoit être synchrone avec le busi-ness de l’entreprise, tant sur leplan de l’accompagnement orga-nisationnel que technique. En unmot une sécurité embarquée dansle métier et le SI.

Orange Business Services est la branche entreprises du Groupe Orange qui propose des services d’opérateur et conçoit des solutions sur mesure d’infrastructures IT tant enFrance qu’à l’international. La sécurité et la continuité de service sont au cœur de sesoffres. Selon Jean-Michel Craye, Directeur marketing Sécurité d’Orange Business Services,le challenge de la sécurité est la flexibilité afin d’intégrer rapidement de nouveaux utilisateurs, de nouveaux sites ou de nouvelles activités.


10

Jean-Michel Craye


LE CHALLENGE DE LA SÉCURITÉ EST LA FLEXIBILITÉ

JEAN-MICHEL CRAYE, ORANGE BUSINESS SERVICES :

ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 11

GS Mag : Quelle estvotre approche de lacontinuité d’activitéchez vos clients ?

Thierry Charvet :Notre approche de lacontinuité d’activité estd’être totalement enadéquation avec lesbesoins de nos clients.Ainsi, nous proposonsdes solutions qui

s’adaptent tant au problème de catastrophe naturelle,d’attaque terroriste ou encore de pandémie. Pour lessalles de marché en particulier, les institutions financiè-res doivent être en conformité avec les législations envigueur qui se renforcent tous les jours depuis les atten-tats du 11 septembre et de Londres. En Europe, parexemple, ces organisations doivent être en conformitéaux accords de Bâle II et aux Etats-Unis à SoX et auPatriot Act qui visent notamment à obtenir de leur partune continuité d’activité face à toutes les situations decrises. De plus, les impacts financiers en cas de ruptured’activité pouvant se chiffrer en plusieurs millions d’eu-ros par jour, ces entreprises souhaitent bénéficier de

solutions de pointe et adaptées à ces enjeux. Ainsi, lacontinuité d’activité doit répondre à ces deux objectifs.

GS Mag : Quelles solutions proposez-vous ?

Thierry Charvet : Nous proposons donc des solutionsadaptées à chaque contexte. Par exemple, dans le casd’une destruction de salle de marché ou d’impossibilitéd’accéder à un local inclus dans le périmètre d’un sinis-tre, nous proposons la mise en place de site de Back Upavec une image complète du site principal et utilisabledans la demi journée. Cette solution permet aussi defaire du re-routage de ligne. Le trader retrouve ainsitout son environnement sur le site de repli. Dans le casde pandémie avec blocage des transports, nous avons lasolution « Mobile Voice Record » pour qu’ils puissentavoir accès à leur environnement depuis n’importe oùvia un BlackBerry, tout en étant enregistré comme l’im-pose la législation. Nous proposons aussi l’offre « Mobile Trader » qui permet à partir d’un PC person-nel d’avoir accès depuis chez soi de façon sécurisé auxdonnées nécessaires pour une reprise d’activité tout aumoins partielle : contacts, applications....Pour conclure, je dirais que le maître mot de nos solutions est la flexibilité afin de répondre à tous lesbesoins de nos clients.

Orange accompagne la mise en œuvre de PCI DSSPar Hervé Troalic - Directeur Pôle conseil sécurité

Ce référentiel concerne toutes les organisations qui stockent, traitent ou transmettent des données des titulaires de cartes bancaires.

Pour faire simple, ces données contiennent au moins le numéro de carte bancaire. Ce référentiel se présente sous la forme d'un code de bonnes pratiques de sécurité en 12 chapitres.

Le bénéfice attendu de la mise en conformité vis-à-vis de ce référentiel est une réduction des risques desécurité sur les plateformes et principalement les risques de vols de données.Ce référentiel est aujourd'hui surtout déployé dans les pays anglo-saxos mais l'Europe est aussi concernéesous l'impulsion des établissements bancaires en charge de faire déployer ce référentiel chez leurs clientssous peine d'amendes.

Dans ce cadre, les établissements bancaires doivent s'appuyer sur des cabinets d'audits certifiés par PCIpour attester que les clients des banques sont conformes. Sans rentrer dans le détail, il existe deux programmes de certification, le programme QSA (audits sur sites) et l'ASV (scans de vulnérabilités). En cequi nous concerne, en tant que spécialiste reconnu de la sécurité du système d'information, nous avonsdécidé de nous positionner sur ces deux programmes (échéance fin 2008).

Nous serons donc en mesure d'attester de la mise en conformité mais nous sommes déjà capables d'accompagner nos clients sur la mise en conformité.

SOLUTION DE TRADING :CONCILIER CONTINUITÉ ET FLEXIBILITÉ

THIERRY CHARVET, DIRECTEUR DU MARKETING DE ORANGE BUSINESS SERVICES - TRADING SOLUTIONS :

PCI / DSS (Payement Card Industry Data Sécurity Standard) est un référentiel de sécurité mis au pointet promu par PCI (VISA/Mastercard/AMEX).

Hervé Troalic

Thierry Charvet




Si les problèmes de sécurité de ladématérialisation sont importants,ils n’en restent pas moins gérableset maîtrisables. En revanche, noussommes encore loin d’être suffi-samment sensibilisés à celui de laperte de données : Quel remèdetrouver face à « l’Alzheimer desentreprises » ? Comment fairepour que l’entreprise fonctionne sielle perd sa mémoire ?

De plus, l’archivage électroniquene doit surtout pas être vu commeune simple transformation de l’ar-chivage traditionnel papier enélectronique. Il correspond en réa-lité à une nouvelle organisation dusystème d’information de l’entre-prise et nécessite de prendre encompte l’ensemble du cycle de viede la donnée. Les entreprises ontbeaucoup à y gagner, car au-delàde l’information, il y a la connais-sance, clé du succès face à la com-pétitivité de demain, comme lerappelle si justement Alain Juillet,Haut Responsable à l’intelligenceéconomique en France.Un profond changement est à opé-rer afin qu’un document soitassorti, dès sa création, d’informa-tions complémentaires (les méta-données) destinées à permettre son

évolution et son archivage en touteconformité. La législation impose,en effet, de pouvoir apporter lapreuve de l’identification de l’au-teur d’un document dès son ori-gine. On distingue trois grandes éta-pes dans la vie d’un document :- de sa création jusqu’à être figé, validé ;- la période de conservation impo-sée par des obligations légales,réglementaires, voire internes ;- l’archivage patrimonial et histori-que qui ne représente qu’un faiblepourcentage.

La notion même de validation d’undocument, moment à partir duquelil n’est plus modifié, revêt uneimportance capitale dans tous lesprocessus de dématérialisation. Dèscet instant, le document devient, eneffet, archivable au sens électroni-que du terme tout en restant parfai-tement accessible.

Les contraintes de la dématé-rialisation et de l’archivage

électronique existent mais…

CONTRAINTES TECHNIQUES

La première des contraintesconcerne le format logique desdocuments. En effet, un document

électronique nécessite systémati-quement un traitement de trans-cription de la suite d’octets enre-gistrée sur le support électronique(disque, bande, …) afin de le pré-senter de façon intelligible à l’uti-lisateur. Un tel traitement dépendessentiellement du format logiquedans lequel sont enregistrés lesdocuments électroniques. Il estainsi fondamental d’utiliser desformats pérennes. On privilégieraainsi des formats standard (norma-lisés, d’utilisation libre) à des for-mats fermés aux spécificationssecrètes.

Le choix du support pose le vérita-ble paradoxe de l’archivage élec-tronique qui consiste à devoirconserver pendant de longuespériodes, voire ad vitam aeternam,des données en utilisant des sup-ports à l’obsolescence extrême-ment rapide. La seule solution esten réalité d’anticiper cette évolu-tion et de prévoir systématique-ment une migration des donnéesd’un support à un autre de façonrégulière. Néanmoins certainstypes de supports sont plus appro-priés que d’autres lorsque l’ontraite d’archivage électronique. Ace niveau une notion est impor-

La dématérialisation se limite pour beaucoup à lanumérisation de documents papiers, alors que ses principaux bénéfices reposent dans la mise en œuvre de processus totalement dématérialisés, sans aucun papier. Il en est ainsi de notre déclaration d’impôt, de ladéclaration de TVA ou encore des factures qui peuvent être totalement dématérialisées.Les applications sont de plus en plus nombreuses avec la dématérialisation descontrats à la consommation ou encore l’ensemble des réservations et des paiements sur Internet. Si cela permet avant tout une plus grande efficacité des échanges, il en résulte, bien évidemment, quelques contraintes supplémentaires.


12

DÉMATÉRIALISATION ET ARCHIVAGE ÉLECTRONIQUE : POUR UNE PLUS GRANDE EFFICACITÉ DES ÉCHANGES

Jean-Marc Rietsch

Par Jean-Marc Rietsch, Président de FedISA



13

tante à retenir, celle du WORM(Write Once Read Many) consistantà protéger la donnée d’une modi-fication ou d’une suppressionintempestive afin de garantir sonintégrité.

Enfin, si la signature électroniqueapporte beaucoup de sécurisationà tout ce qui est dématérialisationpermettant à la fois une bonneidentification de l’auteur d’undocument mais aussi le contrôlede son intégrité, elle impose cer-taines précautions en matière depréservation. En effet, se pose à lafois la nécessité de pouvoir véri-fier à tout moment la signature etle problème de l’obsolescencecryptographique du procédé designature.

CONTRAINTES LÉGALES ET RÉGLEMENTAIRES

Le point de départ a été donné parla loi du 13 mars 2000 conférantune véritable reconnaissance devaleur probante à l’écrit sur sup-port électronique au même titreque l’écrit sur support papier.Même si les exigences en matièrede dématérialisation sont de plusen plus nombreuses, les principa-les à retenir sont les suivantes :- Intelligibilité : peu importe laforme de l’information, l’essentielest qu’elle soit restituée de façoncompréhensible par l’homme ;- Identification : l'écrit sous formeélectronique doit permettred’identifier la personne dont ilémane ; - Intégrité : cette garantie d’inté-grité s’applique au contenu infor-mationnel de l’écrit électroniqueet pas seulement à son intégritétechnique ;- Pérennité : permet de respecterles durées de conservation prescri-tes par les textes en fonction de lanature du document et des délaisde prescription.

A ces quatre exigences s’ajouteégalement la notion importantede confidentialité et d’accèscontrôlé à l’information, particu-lièrement sensible au niveau de laloi « Informatique et Libertés »dont la CNIL est chargée de veillerau respect.

Vers une nouvelle organisation

Face à toutes ces contraintes lessolutions existent :

- Qualification de l’information àl’aide des méta-données ;- Mise en œuvre d’une logique pro-jet face aux problématiques dedématérialisation et d’archivageélectronique ;- Méthodologie autour de la politi-que d’archivage ;- Evolution des normes et autresinterfaces plus techniques commel’interface XAM (eXtensible AccessMethod) destinée à fournir uneindépendance entre les applica-tions, les logiciels d’administrationet les systèmes de stockage…

LES TIERS DE CONFIANCE

Cette notion de tiers de confiance,présentée souvent comme unenotion nouvelle, existe en réalitédepuis fort longtemps avec lesnotaires. Les tiers de confiancesont incontournables d’un pointde vue « légal » puisqu’ils se por-tent garant d’une partie de lachaîne de confiance qui doit êtremaintenue tout au long des pro-cessus de dématérialisation. Nousciterons succinctement les quatretiers que l’on retrouve le plus fré-quemment :- Certificateurs (autorité, opéra-teur), agissent dans le domaine dela signature électronique et s’enga-gent quant à la validité du certifi-cat au moment où il est utilisé ;- Horodateurs, garantissent unedate et une heure mais n’inter-viennent en aucune façon sur lecontenu au sens informationnelou intégrité ;- Archiveurs, s’engagent à conser-ver les données qui leur sontconfiées pendant toute la duréerequise de façon intègre ;- Autorité de gestion de preuve,établit une attestation de preuvetémoignant de la validité de lasignature électronique d’un docu-ment, tant sous son aspect intègreque sur la validité du certificat.

La dématérialisation est donc loind’un simple phénomène de mode.En fait, nous n’en sommes qu’àses balbutiements dans la mesureoù elle touche tant les entreprisesque les particuliers. Nous vivonsainsi à l’aube d’une réorganisa-tion profonde des flux d’informa-tions dans l’ensemble des organi-sations avec pour principal objec-tif de gagner en efficacité, sanspour autant perdre en relationnel.Il faut donc y voir une formidableopportunité pour les profession-

nels comme pour les particuliers,afin de permettre, au-delà de l’in-formation, d’accéder à plus de « connaissance ». ■ ■ ■

A NOTER DANS VOS AGENDAS !20 NOVEMBRE 2008 - STORAGE EXPO 2008

LA FEDISA CREE L’EVENEMENT SUR LE SALONSTORAGE EXPO 2008 !

Stockage, Sauvegarde, Conservation etArchivage, complémentaires ou opposables ?

«Comment passer de la sauvegarde à l’archivage»?«Doit-on parler de gestion, de conservation oud’archivage des mails»? « Certification » d’un système d’archivage électro-nique: quelle(s) norme(s), quel(s) standard(s),quel(s) référentiel(s) ? Cette journée sera l’occasion d’aborder les thèmesdu Stockage, de la Sauvegarde, de la Conservationet de l’Archivage des données à la fois sous leursaspects fonctionnels, techniques mais aussi juridi-ques et réglementaires.

Programme

9h30-10h15 : FedISA Stockage, Sauvegarde,Conservation et Archivage, complémentaires ouopposables ? Jean-Marc RIETSCH Président10h15-11h00 : Beemo Technologie Mise en placed'une sauvegarde simple et fiable - cas client PMEet Grand Compte : Olivier MAURAS DirecteurGénéral11h15-12h00 : Document@work Les tendances del'ECM au jour d'aujourd'hui : Phédra CLOUNERPrésidente12h00-12h45 : STS-group Dématérialisation,archivage électronique et valeur probatoire, exem-ples concrets. Thierry BLANC Directeur marketing14h00-14h45 : FedISA Irlande Aspect sécuritaire,trait d’union entre sauvegarde et archivage :Mathieu GORGE, Président14h45-15h30 : Iron Mountain Digital Je suisserein, mes données déstructurées sont proté-gées, localisées, exploitables avec exemple client :Jean-Philippe FABRE Directeur technique Europedu Sud15h45-17h00 : Table ronde Synthèse de la journée,débat autour du thème principal : Stockage,Sauvegarde et Archivage, pour la protection desdonnées face aux risques pas seulement techni-ques…17h00 : Fin des conférences




Olivier Mauras : La société BeemoTechnologie a été fondée enNovembre 2002 par GabrielBiberian et moi-même. Nous intervenons sur le marché de la sauvegarde de données, en propo-sant une solution intermédiaireentre la sauvegarde classique et latélésauvegarde. A travers notre offreglobale de services et notre solutionData Safe Restore, nous nous positionnons sur le marché du SaaS(Software as a Service).

GS Mag : Quel est votre produitphare pour 2009 ?

Olivier Mauras : Nous n’avons pasde nouveaux produits, mais des évo-lutions régulières de notre solutionphare, Data Safe Restore. Nous la ren-dons toujours plus performante, parl’ajout de nouvelles fonctionnalités.La prochaine évolution est prévuepour le premier trimestre 2009. Lesmises à jour sont régulières et se fontautomatiquement. Le client n’a doncpas à s’en préoccuper et ne s’en rendsouvent même pas compte.

L’objectif est de rationaliser votre système de stockage

GS Mag : Quels sont les principauxconseils que vous donnez à vosclients au niveau de la mise enœuvre de stratégie dans le domainedu stockage des données ?

Olivier Mauras : Les entreprises seretrouvent aujourd'hui avec d’impor-tantes quantités de données à sauve-garder. L'objectif principal est d'arri-

ver à rationaliser le stockage de leursystème de production. Il faut, toutd'abord, distinguer les donnéescréées par l'entreprise des donnéesOEM (OS, application). De plus, les données de production doivent êtreclassées par typologie, afin d'appli-quer pour chaque cas une politiquede sauvegarde adéquate et de gérerplus facilement leurs cycles de vie. Cesont principalement nos revendeurset distributeurs qui prodiguent cesconseils auprès de nos clients etessaient de trouver un système desauvegarde sur mesure répondant aumieux aux besoins du client.

GS Mag : Quelles sont vos princi-pales références ?

Olivier Mauras : Nous adressonstous les types et les tailles d'entre-prises, quel que soit leur secteurd'activité. Notre offre s'adapte aussibien aux PME/PMI – qui ontaujourd'hui compris l'aspect straté-gique et vital de la sauvegarde desdonnées - qu'aux grands comptes,qui trouvent dans notre solutionune réponse parfaitement adaptéeà leurs besoins et très facile àdéployer, notamment dans lecontexte d'organisations multisites.Nous comptons de nombreusesréférences en France, parmi les-quelles la Fondation Jacques Chirac,la Croix Rouge, Transcausse ou laPrincipauté de Monaco.

Nous souhaitons étendre notremarché au niveau européen

GS Mag : Quelles sont vos perspectives de développement ?

Olivier Mauras : Nous voulons nous

positionner parmi les principauxacteurs de solutions de sauvegardeen France et attaquer des marchéscomme l’Angleterre, la Belgique,l’Allemagne, ou encore l’Espagne.SARL à l’origine, Beemo Technologieest aujourd'hui une Société Anonymeau capitale de plus d’ 1M€. Noussouhaitons débloquer de gros inves-tissements afin de pouvoir agrémen-ter notre offre de services et de pres-tations supplémentaires.

GS Mag : Pour conclure, quelserait votre message à votre clientèle ?

Olivier Mauras : La sauvegarden’est pas quelque chose de compli-qué, dans la mesure où vous vousorientez vers du service et que vousacquérez un système global. Nousvous offrons ce service global (équipement, prestation,…).

Face à la pléthore de données à sauvegarder aujourd'hui, les entreprises ont besoinde rationaliser leur système de stockage de production, en évitant toute redondanceet en isolant les données cruciales. Dans cette optique, la société BeemoTechnologie propose une alternative à la sauvegarde classique, à travers sa solutionData Safe Restore. Olivier Mauras, Directeur R&D chez Beemo Technologie, présente son offre de service globale qui se décline sur le modèle du SaaS.


14

Interview par Emmanuelle Lamandé

Date de création :Novembre 2002

Solution :Data Safe Restore

Principales références :Fondation Jacques Chirac, la Croix Rouge, Transcausse ou la Principauté de Monaco

FICHE ENTREPRISE

Olivier Mauras

EXTERNALISEZ LA SAUVE-GARDE DE VOS DONNÉESEN TOUTE SÉCURITÉ

OLIVIER MAURAS, BEEMO TECHNOLOGIE :

ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 15

Global Security Mag : Pouvez-vousnous présenter votre entreprise ? Thierry Blanc : La création de notresociété, en 2000, a coïncidé avecl’évolution majeure de la législationsur l’économie numérique*. Cettelégislation a permis de poser lesconditions d’une nouvelle manièred’établir les usages commerciaux.Pour que cette nouvelle économies’impose, elle a besoin de se doterd’un environnement de confiance.Nous avons justement créé STS Grouppour proposer tous les composantstechniques afin d’établir les bases decette nouvelle société.

Nos solutions permettent de gérer l’établissement

et la conservation de la preuve numérique

GS Mag : Quel sont ces outils ? Thierry Blanc : Nous proposons desmodules logiciels pour gérer, en parti-culier, l’établissement et la conserva-tion de la preuve numérique, en admi-nistrant les interfaces avec des tiers deconfiances tels que tiers certificateurs,horodateurs et des autorités de gestionde preuve. Dans notre suite, on trouveentre autres un module qui a pourvocation d’établir la preuve électroni-que : STS Proof Server, et un coffre fortnumérique pour la conservation sécu-risée : STS Digital Vault. Ces produits ont vocation à êtreexploités dans un certain nombre dedomaines de l’économie numérique :archivage probatoire, échanges élec-troniques à valeur probatoire… Nousavons aussi élargi notre champ deprédilection en proposant un servicede votre électronique par correspon-dance. Ainsi, le Barreau de Bruxellesélit son Bâtonnier avec notre solu-

tion. Nous avons la conviction queces technologies peuvent apporterdes solutions à la plupart des problé-matiques de l’économie numérique.

La détermination d’une politique d’archivage doit

précéder le déploiement de solutions techniques

GS Mag : Quels sont les principauxconseils que vous donnez à vosclients au niveau de la mise enœuvre de stratégie dans le domainede l’archivage électronique ?Thierry Blanc : Mon principalconseil est plus d’ordre méthodologi-que que technique. En effet, les outilstechniques sont aujourd’hui de qua-lité et ont fait leur preuve. Par contre,trop souvent encore, les entrepriseséludent la phase d’audit pour déter-miner précisément leur politiqued’archivage. Il n’est pas questionpour elles de tout archiver, mais dedéterminer, en fonction de leursbesoins, et des contraintes, légales,règlementaires, ou organisationnel-les, quels sont les données et docu-ments à conserver. La DCSSI proposedes exemples de politique d’archi-vage. Des consultants spécialisés, desFédérations professionnelles… peu-vent aussi les aider.

GS Mag : Quelles sont vos princi-pales références dans le milieu desinstitutions financières ? Thierry Blanc : La plupart des gran-des banques françaises sont nos clien-tes, à commencer par la Banque deFrance qui depuis 2005 utilise notresuite pour son socle d’archivage glo-bale appelé ARCHV. On peut aussiciter la Société Générale, les BanquesPopulaires, les Caisses d’Epargne, le

Crédit Agricole… l’UBP, la BCL, leGroupe des Cartes Bancaires. Dans ledomaine de l’assurance, nous travail-lons avec Areas, AGF, Winthertur…

GS Mag : Pour conclure, quel seraitvotre message à nos lecteurs ?Thierry Blanc : Nous sommes àl’aube d’une révolution qui sera sansdoute plus importante encore que larévolution industrielle. La démocrati-sation de l’économie numérique vadémultiplier totalement les moyensd’action des entreprises. Elle va leurpermettre de s’affranchir du temps etde l’espace. Demain, il sera possiblede travailler avec n’importe quelleentreprise, qu’elle se trouve au coinde la rue ou à l’autre bout duMonde, dans les mêmes conditionsde coûts et de délais. L’économienumérique est donc le passeportpour un nouveau mode d’échange.Nous avons l’ambition d’être un desmaillons techniques pour assurer cepassage. ■ ■ ■

Le passage à l’économie numérique est l’enjeu du 21ème siècle, estime ThierryBlanc, Directeur marketing de STS Group. Pour s’imposer, ce nouveau concepta besoin de l’établissement d’un véritable environnement de confiance numérique. STS Group propose des solutions techniques pour permettre auxentreprises de franchir ce cap. Pour Thierry Blanc, les outils techniques sontaujourd’hui disponibles, mais les entreprises doivent avant tout réfléchir àleurs objectifs et leurs pratiques.

Date de création : 2000

Chiffre d’affaire :11.300 millions d’€ en 200720 millions € en 2008

Solution : STS Suite

Principales références :Banque de France, BanquePostale, BNP Paribas, Cofinoga,Groupement des Cartes Bancaires,Sofinco, UBP, Gras Savoye

FICHE ENTREPRISE

Thierry BlancInterview par Marc Jacob

NOUS VOUS PROPOSONSUN PASSEPORT POURL’ÉCONOMIE NUMÉRIQUE

THIERRY BLANC, STS GROUP :

* Directiveeuropéenne du

13 décembre1999 qui a ins-

titué l’usagede la signature

électronique.Cette directivea été suivie enFrance par la

loi du 13 mars2000 qui amodifié les

articles 1316-1et 1316-4 ducode civil enprécisant la

définition d’unécrit électroni-

que et des 3conditions desa valeur de

preuve : - reconnaissancede l’écrit élec-

tronique despersonnes

physiques oumorales,

- intégrité de laconservation

des documentset - intelligibilité

de ces documents

dans le tempsqui induit

l’utilisation deformat public

donc normalisé(XML,

PDF/A…).

ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com19 ET 20 NOVEMBRE 2008PARC DES EXPOSITIONS PORTE DE VERSAILLES

16


Frédéric Bouzy


Frédéric Bouzy : Iron Mountainpropose une gamme complète desolutions de gestion d’archives(records management) et de protec-tion des données. Elle apporte sonexpertise et son expérience pour rele-ver des défis complexes tels quel’augmentation des coûts destockage, les litiges, la conformité auxobligations légales et réglementairesainsi que la reprise après sinistre.Pôle technologique d’Iron Mountain,Iron Mountain Digital fournit dessolutions et des services permettantla sauvegarde et la restauration desPC, des serveurs distribués ainsi quela sécurité des données des PC. Nousproposons également un service degestion des e-mails qui inclut l’archi-vage externalisé, la continuité de ser-vice, la reprise après sinistre et lasécurité. Notre offre est adaptée àtout type d’entreprise, du grandcompte à la PME.

Nous bénéficions de plus de 1020sites de conservation dans le monde.Notre site souterrain historique a étéacquis il y a 50 ans à l’Etat de NewYork. C’est une ancienne mine de feroù sont conservés des documents dugouvernement américain, les archi-ves nationales des Etats-Unis, les sau-vegardes informatiques des plusgrandes entreprises américaines : lespellicules originales des filmsd’Universal Studios et de Walt Disneydepuis les débuts d’Hollywood, lesbrevets de la machine à coudreSinger et de la statue de la Liberté…

Connected Backup a été vendue à plus de

2,5 millions d’exemplaires

GS Mag : Quel est votre produitphare pour 2009 ?

Frédéric Bouzy : Connected Backupest une solution de sauvegarde et derestauration des données. Nousavons vendu plus de 2.5 millions delicences de ce produit dans lemonde. DataDefense permet, en casde perte ou de vol d’ordinateurs,d’empêcher à des personnes nonautorisées d’accéder aux donnéesqu’ils contiennent. Nous annonce-rons en 2009 de nouvelles avancéespour nos solutions phares ConnectedBackup, DataDefense & E-Discovery.

Suite au rachat de Stratify en 2007,nous proposons aussi des technolo-gies pour rechercher dans le SI del’entreprise des preuves électroni-ques utilisables lors de litiges.

GS Mag : Quels sont les principauxconseils que vous donnez à vosclients en termes de mise en œuvrede stratégie de sauvegarde et deprotection des données ?

Frédéric Bouzy : Les entreprises doi-vent considérer la sauvegarde commele premier élément à prendre encompte dans le cadre de leur PRA.Elles ne doivent pas négliger la sauve-garde et l’archivage des e-mails, enparticulier dans le cadre de la luttecontre la fraude et la corruption.

GS Mag : Quelles sont vos princi-pales références dans le milieu desinstitutions financières ?

Frédéric Bouzy : Iron Mountaincompte parmi sa clientèle internatio-nale de nombreuses sociétés réputéescomme, par exemple, Deutsche

Verkehrsbank et Bank of Scottland,Swiss Life Allemagne. Des institutionstelles que Le Ministère des FinancesBelge nous font également confiance.

GS Mag : Pour conclure, quelserait votre message à nos lecteurs ?

Frédéric Bouzy : Une bonne politi-que de sauvegarde des données doitpermettre de retrouver et localiser sesdonnées où que l’on se trouve dans lemonde. Dans une époque en muta-tion permanente, il est primordial demettre en place une stratégie de cen-tralisation des données sensibles.

Iron Mountain bénéficie d’une longue expérience de la protection des informationsquel que soit leur support : numérique ou physique. Iron Mountain Digital fournitdes logiciels et des services de sauvegarde, de restauration et d’archivage de données.Pour Frédéric Bouzy, son Directeur Europe du Sud, une bonne sauvegarde desdonnées doit permettre de localiser et retrouver des données où que l’on se trouve

dans le monde. Selon lui, la sauvegarde est l’assurance vie de l’entreprise.


LA SAUVEGARDE ESTL’ASSURANCE VIE DEVOTRE ENTREPRISE

FRÉDÉRIC BOUZY, IRON MOUNTAIN DIGITAL :

Date de création : 1951 Le pôle technologique d’IronMountain, Iron Mountain Digital,a été créé suite au rachat deConnected en novembre 2004.

Collaborateurs :19 500 personnes

CA : 2.7 milliards $ en 2007 (160 millions $ pour IronMountain Digital)

Solutions : Connected Backup/PC,Connected Backup/SV, LiveVault,DataDefense, Total EmailManagement Suite

Principales références :Europcar, Leo pharma, Swiss Life,Ministères des Finances

FICHE ENTREPRISE

en partenariat avec - global security mag online...hors série n 002 – octobre 2008 et issn : 1961...

Documents