La sécurité informatique
Quand la société a été créée par trois ingénieurs il y a presque dix ans, la menace informatique n’engendrait que des craintes nébuleuses qu’il était facile d’atténuer avec un bon antivirus et un firewall. Depuis, un certain nombre d’alertes sérieuses ont prouvé aux professionnels – et à un bon nombre de particuliers – que La Réunion, si petite et isolée soit-elle, n’était plus à l’abri des attaques en tout genre. Comme le dit Stéphane Jaillet, directeur d’OpenSphere, « nous sommes connectés au reste du monde, donc pas plus à l’abri que lui… ».
« Security is a process, not a product » : cette phrase du cryptographe américain Bruce Schneier, le pape de la sécurité informatique, Stéphane Jaillet en a fait son crédo. En un mot, ce n’est pas en achetant une multitude d’outils de protection que vous serez le plus à l’abri, mais en respectant un certain nombre de règles. Test classique : vous trouvez une clé USB, qu’est-ce que vous faites ? Surtout, ne la connectez pas à votre ordinateur pour savoir ce qu’il y a dessus ! Parce que cette clé peut contenir une application hostile qui peut endommager votre machine et attaquer votre réseau. Rien d’étonnant à ce que la courbe du succès d’OpenSphere, un des prestataires de service les plus pointus en la matière à La Réunion, grimpe de manière exponentielle.
« Nous assistons nos clients en matière de sécurité, non pas en leur vendant des logiciels ou du matériel, mais en pointant leurs faiblesses et en leur apprenant les bonnes attitudes ». Le tout de quatre manières : 1/ Les audits de sécurité, 2/ Les attaques système, 3/ La formation, 4/ L’administration de systèmes et réseaux.
Adopter les bonnes attitudes
Les audits de sécurité consistent à étudier de manière approfondie les pratiques informatiques d’une entreprise (sauvegardes, protections, chiffrement des ordinateurs portables, procédures en cas de vol, de crash du système…), selon la norme ISO 27001, et informer le client des mesures à prendre pour être à l’abri. Un peu comme le contrôle technique d’une voiture. Les attaques système sont plus « ludiques » ; elles consistent à jouer au hacker et tenter de pénétrer les défenses d’une entreprise, soit depuis Internet, soit depuis ses locaux (simulation d’une malveillance à partir d’une prise réseau, par exemple).
C’est évidemment du « hacking éthique » : pas question de divulguer les données confidentielles éventuellement récupérées…
La formation concerne aussi bien les responsables sécurité des entreprises (RSSI) que le personnel lambda. On apprend à ce dernier, par exemple, à se protéger contre le « social engineering », manière de récupérer de l’information en se faisant passer pour quelqu’un d’autre et, en règle générale, à respecter une « charte de bonnes pratiques » qui évite bien des ennuis.
Enfin, sur abonnement, OpenSphere peut gérer directement les installations d’un client, vérifier ses sauvegardes, sa sécurité, mettre à sa disposition en cas de crash les salles d’ordinateurs prévues pour cela dans le Nord et le Sud (très pratique après une inondation cyclonique, par exemple…)
Succès grandissant
Efficacité, rigueur, et surtout discrétion : quand on joue le « garde des réseaux » d’une banque ou d’un opérateur, il faut respecter une absolue confidentialité. La jeune équipe d’OpenSphere s’est fait un nom en ce domaine, qui lui permet maintenant d’étendre ses activités hors de l’île : d’abord à Maurice, où elle a séduit de très gros clients, depuis peu aux Antilles, et bientôt à Madagascar, en Afrique du Sud, au Kenya.
Un parallèle amusant : le protecteur des portails informatiques est devenu protecteur des portails métalliques, avec le système Citel974, qui met les nouvelles technologies au service de ceux qui veulent se prémunir contre les intrusions.
En savoir plus : www.opensphere.fr