Accueil | Actualité | Documentation | Outils gratuits | Services gratuits | Téléchargement | Alertes | Hoax | Recherche | Contact
 

Logo Secuser.com

GENERAL
  Actualité du jour
  Lettres d'information
  Guides gratuits
  Livres
  Glossaire
VIRUS

  Alertes virus
  Dossiers virus
  Alertes par email
  Antivirus gratuits
  Antivirus en ligne
  Désinfection
  FAQ virus
PROTECTION
  Alertes sécurité
  Dossier firewall
  Alertes par email
  Firewalls gratuits
  Scanner de ports
  Antirootkits gratuits
  Traceur IP/domaine
  WindowsUpdate
  FAQ sécurité
PHISHING
  Alertes phishing
  Logiciels anti-phishing
  FAQ phishing
SPAM
  Dossier spamming
  Logiciels anti-spam
  FAQ spam
VIE PRIVEE
  Paiements en ligne
  Dossier spywares
  Antispywares gratuits
  Vos traces sur le Net
  FAQ vie privée
HOAX
  Alertes hoax
  Dossier hoax
  Dossier viroax
  Antihoax en ligne
  FAQ hoax
SECUSER
  Recommander ce site
  Fils d'information
  Bannières et boutons
  Etat des services
  Charte vie privée
  Nous écrire
 
RECHERCHE
Recherchez un mot-clé dans Secuser.com

NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com

IDDN certification
 
DOSSIER
Dossier précédent | Archives dossiers | Dossier suivant
 
Profession : consultant en sécurité informatique
Propos recueillis par Emmanuel JUD (septembre 2001)
Dessin Ils ont en charge la sécurité des entreprises, mais restent bien souvent peu connus voire inconnus du grand public. Qu'appelle-t-on exactement un consultant en sécurité informatique? Quelles sont leurs méthodes de travail? Leurs clients? Les principaux risques auxquels ils doivent faire face? Leur formation? Entretien avec Hervé SCHAUER, directeur d'un important cabinet parisien.

Emmanuel JUD : Qu'est-ce exactement qu'un consultant sécurité ?
Hervé SCHAUER : Un consultant en sécurité informatique est un ingénieur qui aide les entreprises à concevoir et déployer des systèmes d'information qui répondent à ses besoins de sécurité. Lorsque nous développons des méthodologies, c'est pour formaliser l'exploitation d'un système de sécurité Internet ou une plateforme de commerce électronique, ou une méthode d'audit de serveurs.

Quelles sont vos méthodes de travail ?
Nous prenons en compte les besoins du client, ses moyens et recherchons la meilleure solution. C'est générique à tous les consultants sans doute, quel que soit leur métier.

Qui sont vos clients ?
Nos clients sont principalement les grands comptes, mais nous travaillons également pour des PME, sous-traitants de grands comptes, ou des start-ups dans le domaine de l'Internet. Tous les domaines sont couverts, même si certains secteurs sont très présents : banque/finance, industrie, opérateurs, etc. Nous travaillons également pour le secteur public, et à l'international un peu dans tous les pays.

Quels sont vos domaines d'intervention ?
Nous proposons des études, des mises en place de systèmes, des audits, des tests d'intrusion artisanaux, des tests de vulnérabilités, des enquêtes, un programme complet de formations en sécurité, des services de veilles : une veille en vulnérabilité, et une veille de l'actualité en sécurité dont je suis responsable, et de manière générale tout ce qui concerne la sécurité dans notre domaine : Unix, les systèmes Microsoft, et les réseaux TCP/IP au sens large. Au sens large intègre la couche sub-IP comme la sécurité d'Ethernet sans fil, de GPRS, etc., et les applications au-dessus comme Tuxedo, Lotus Notes, Vignette, Websphere, etc.

Un exemple de mission dans le domaine du piratage ?
Une enquête, nous avons à en faire régulièrement. Les plus graves en terme d'étendue des dégats étaient plutôt chez des fournisseurs de services : beaucoup de machines piratées. Par contre ce sont des cas de piratages d'entreprise qui je pense ont représenté les plus gros préjudices financiers, avec des vols de fichiers du business : propositions, fichiers clients, présentations marketing, etc. Beaucoup de problèmes viennent de l'intérieur. Nous avons des cas où les malveillances ont été réalisées par des anciens administrateurs système.

Un exemple de mission dans le domaine des virus informatiques ?
La conception d'architectures de passerelles de sécurité Internet permettant une répartition de la charge de l'anti-virus sur plusieurs serveurs, pour un anti-virus utilisé dans HTTP.

Un exemple de mission dans le domaine de l'escroquerie ?
Les missions sont souvent des audits et je pense que dans les audits d'applications, notamment dans le cadre d'applications de commerce électronique, nous avons souvent évité des futures escroqueries de la part des clients, en faisant corriger ces applications.

A part la malveillance, quels autres dangers guettent l'entreprise?
L'erreur humaine. Prenons un exemple très simple, quel est le cas le plus courant de perte de disponibilité sur un serveur web situé dans une entreprise ? Un serveur qui fourni un service vers l'extérieur. Pas le piratage du serveur, pas un déni de service de ce serveur, pas une coupure de la LS ou une coupure de courant, mais dans mon expérience, une erreur de configuration ou d'annonce BGP par le fournisseur d'accès. Donc une erreur humaine chez le fournisseur d'accès. Pour cela il faut des procédures d'alarme pour faire corriger rapidement l'erreur.

Quel serait pour vous un scénario catastrophe ?
Sous l'angle technique, je pense que nous avons à plusieurs reprises échappé de très peu à des vers beaucoup plus dévastateurs que ceux que l'Internet a connu. Un vers étant un programme qui profite d'erreurs de configuration ou de bogues des applications pour se dupliquer tout seul de serveur en serveur. Sous l'angle financier, il m'apparait plausible d'arriver, au travers de piratages informatiques, à faire basculer la bourse de manière artificielle. Avec les services de bourse en ligne disponibles actuellement celà n'apparait pas impossible que certains d'entre eux puissent permettre de faire des transactions partiellement virtuelles, car ce genre d'applicatifs ont toujours le risque d'avoir des bugs.

Quelle formation pour devenir consultant?
La meilleure formation à la sécurité informatique est d'être un bon informaticien. La sécurité demande des connaissances généralistes, à la fois une maîtrise de la programmation et de l'administration système et réseau. Pour les jeunes passionnés il existe des mastères en sécurité informatique, mais la sécurité s'apprend en entreprise : ce qui compte c'est la base technique maîtrisée au départ. Il faut donc une maîtrise d'informatique, un DEA, un DESS ou un diplôme d'ingénieur. Ensuite, nos consultants vont régulièrement en formation aux USA, notamment sur les domaines où ils peuvent avoir des lacunes, par exemple la sécurité Windows 2000 pour des consultants qui maîtrisent la sécurité Linux, et bien sûr ils profitent des formations dispensées en interne.

Après des études d'informatique à l'Université Paris 6 (Jussieu), Hervé SCHAUER est un des pionniers de la sécurité informatique en France, avec (entre autres) la publication dès 1987 d'une série d'articles sur la sécurité Unix et la détection d'intrusion. Il fonde en avril 1989 son propre cabinet (Hervé Schauer Consultants), au sein duquel il a été l'un des inventeurs du relayage applicatif (proxy services), présenté à Usenix Security en 1992, et utilisé par la suite dans les firewalls.

LIENS UTILES :

- Hervé Schauer Consultants, site professionnel d'Hervé SCHAUER
- OSSIR (Observatoire de la Sécurité des Systèmes d'Information & des Réseaux)
- CLUSIF (Club de la Sécurité des Systèmes d'Information Français)

 

 

 
 
PUBLICITE
PUBLICITE

Copyright © 1998-2008 Emmanuel JUD | Secuser est une marque déposée | Hébergement par Model-FX