Arthur Coviello, CEO de RSA : “Il arrive qu’il faille 'sacrifier' la vie privée au service de la sécurité”

Sécurité

A l’occasion de la RSA Conférence 2008 qui s’est tenue à San Fransisco, Arthur Coviello, p-dg de RSA Security et directeur adjoint d’EMC, nous explique sa vision de la sécurité, via les nouvelles approches qu’il considère comme très prometteuses

Avec un peu de recul, que vous a apporté le rachat par EMC ?

Depuis notre rachat par EMC, nous pouvons envisager de plus grandes choses, avec une vision élargie, et des ressources humaines et financières plus conséquentes. Si nous œuvrions déjà dans la gestion des identités et du risque, nous dépassons désormais cette étape, pour envisager la sécurité sur l’ensemble du système d’information. Une démarche globale qui s’inscrit dans un processus vertueux de politique de sécurité qui s’enrichit perpétuellement

Comment se traduit concrètement ce processus ? Est-il purement théorique ?

Il est totalement opérationnel, et réussit bien à nos clients. En amont, nous aidons l’entreprise à automatiser la création de règles de sécurité, alignées sur sa stratégie et ses problématiques métier. Puis, le processus se déroule en trois temps.

Après le développement des politiques de sécurité et leur orchestration selon les fonctions métiers et le système d’information, nos solutions doivent s’assurer de leur application sur tout le SI, sous peine d’inefficacité. Enfin, des traitements du même type doivent assurer la conformité réglementaire. Et pour tous ces traitements, la gestion des retours (feedback) contribue à améliorer et à affiner les règles de sécurité. Cette boucle permanente [affinage des politiques par le feedback et obligation de respecter ces règles –enforcement-] permet à la sécurité de s’adapter à une entreprise dynamique et à un système d’information en perpétuelle évolution.

art_coviello.jpg

Alors, si vous couplez tout le spectre, qu’allez-vous faire de vos partenaires ?

Les entreprises doivent gérer à un nombre croissant de solutions provenant de plusieurs vendeurs. Il nous incombe donc jouer la coopétition tout en ouvrant des passerelles entre nos logiciels. Or, cette intégration étroite nécessite une forte coopération entre éditeurs, comme nous le réalisons avec Microsoft, Cisco, Symantec, Oracle, IBM, etc.

Les autorités de régulation n’incarnent-elles pas un obstacle majeur en défendant légitimement la vie privée ?

Pour ce qui est des régulateurs et les politiques liées à la confidentialité, il est utile de considérer le fait suivant. Il arrive qu’il faille “sacrifier” les données de la vie privée (privacy) au service de la sécurité. Ainsi, cela devient monnaie courante dans le fonctionnement des compagnies aériennes, y compris avec Air France. Toutefois, la société concernée devient alors responsable de cette information liée à la vie privée de ses clients. Par ailleurs, tout éditeur de logiciel se doit de respecter les lois et les pratiques des pays où il vend ses solutions.

Avec des technologies toujours plus sophistiquées, le travail des responsables informatique ne devient-il pas un casse-tête impossible ?

Certes, la technologie peut se révéler de plus en plus complexe. En revanche, son utilisation, sa gestion et son déploiement doivent rester les plus simples possible. Si l’on considère le triangle Coût-Sécurité-“Simplicité d’implémentation, de management et d’utilisation”, sa forme peut fortement évoluer selon les entreprises. Et cela est tout fait normal, pour autant que les raisons de ces déformations correspondent réellement aux obligations ou attentes des entreprises en question.

Avec les virus et les attaques qui se multiplient, voyez-vous l’avenir de l’informatique en noir, avec des solutions de plus en plus impuissantes ?

Je reste résolument optimiste sur l’évolution en ce domaine. En effet, notre approche actuelle se concentre plus sur la gestion de l’information et de ses risques que sur les techniques de sécurité. Et cela procure de bien meilleurs résultats.