De meilleures pratiques au service de la sécurité lors de la RSA Conference

La RSA Conference Europe qui se tient à Londres illustre une fois de plus combien le domaine de la sécurité est vaste puisqu’on a eu droit coup sur coup à la vision de l’expert en sécurité Bruce Schneier en matière de ‘security feeling’ et à la promotion par une nouvelle organisation de meilleures pratiques (‘best practices’) pour le développement de logiciels sûrs.

La RSA Conference Europe qui se tient à Londres illustre une fois de plus combien le domaine de la sécurité est vaste puisqu’on a eu droit coup sur coup à la vision de l’expert en sécurité Bruce Schneier en matière de ‘security feeling’ et à la promotion par une nouvelle organisation de meilleures pratiques (‘best practices’) pour le développement de logiciels sûrs.

Cette nouvelle organisation s’appelle [SAFEcode] et a été créée par EMC (RSA), Juniper, Microsoft, SAP et Symantec en vue de favoriser des ‘best practices’ pour le développement et le déploiement de logiciels sûrs et fiables. Ses membres souhaitent avant tout faire mieux connaître leurs efforts dans ce domaine, à l’image du ‘security development lifecycle’ de Microsoft.

L’objectif est d’arriver à une forme de ‘software assurance’, afin que les fournisseurs et les utilisateurs de logiciels puissent avoir davantage confiance dans leur infrastructure supportée IT, tant dans l’entreprise, les télécoms (téléphonie) que dans l’infrastructure critique d’un pays (services aux collectivités, etc.). Dans ce but, SAFEcode collaborera aussi étroitement avec les autorités et le monde académique. A terme, l’organisation recherchera également des membres dans des secteurs tels que les télécoms et les fournisseurs d’infrastructures pilotées IT.

La ‘feeling’ face à la ‘réalité’Et puis on a eu droit au discours-programme de l’expert en sécurité Bruce Schneier qui a mis les fournisseurs devant leurs responsabilités: leurs produits donnent peut-être au client une impression de sécurité, mais sans qu’il soit question de véritable protection. Il a aussi exhorté les utilisateurs présents à ne pas se laisser aveugler par des précédents exceptionnels. Dans un entretien accordé à Data News, il a affirmé que les utilisateurs doivent surtout s’inquiéter quand le problème qui se pose n’est plus d’actualité, mais reste bien présent.

Pour Art Coviello, ‘executive vice-president’ d’EMC et président de RSA, les clients doivent en tout cas renoncer à une sécurité orientée produit (réseaux et systèmes en tête) et se concentrer plutôt sur une sécurité orientée information. La sécurité avec laquelle l’information est gérée et distribuée entre toutes les parties concernées prime aujourd’hui sur la mise en oeuvre d’une sécurité purement périmétrique.

Home Page