Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

7è RIAMS : la dépérimétrisation du SI nécessite de repenser la sécurité

mai 2011 par Emmanuelle Lamandé

Pour la première journée des RIAMS 2011, Atheos a choisi de positionner la dépérimétrisation du SI au cœur des échanges. Orchestrés par Nicolas Arpagian, Rédacteur en chef Prospective Stratégique, trois thèmes ont ainsi été abordés : la protection du patrimoine informationnel, le SI sans frontières et la protection face aux nouvelles menaces. En amont de ces débats, une enquête avait été menée auprès des participants sur ces différentes problématiques.

Peut-on réellement protéger son patrimoine informationnel ?

Parmi les principaux résultats de l’enquête sur la protection du patrimoine informationnel, on observe que 20% des répondants n’ont pas classifier les informations critiques de leur entreprise, 35% l’ont fait de manière générale, et 45% par métier. Concernant les comportements VIP vis-à-vis de la protection de l’information, 14% seraient « exemplaires », 74% « discutables » et le reste « inquiétants ». 31% des répondants n’auraient aucun contrôle sur ce qui se passe sur les webmails et les clés USB, 66% en auraient un contrôle partiel. Seuls 14% d’entre eux estiment que les fuites d’informations de leur entreprise seraient liées à un vol de données. Enfin, une grande majorité (81%) vérifie de temps à autre que leurs données sensibles ne sont pas accessibles sur Internet.

La définition de ce qu’il convient d’appeler « patrimoine informationnel » ne fait pas l’unanimité pour toutes les entreprises. Pour Olivier Guilbert, Président d’OpenTrust, la notion même d’information sensible est liée à la culture de l’entreprise, et dépend donc à la fois du métier et du contexte. Sans oublier l’aspect « culture historique ». En France par exemple, nous apportons plus d’importance à certains types d’information, tels que les fiches de paie, alors que nous diffusons plus facilement certaines informations qui sont dans les faits beaucoup plus sensibles.

Néanmoins, de plus en plus d’entreprises prennent conscience de la nécessité de définir leur patrimoine informationnel, de le classifier et de le protéger, celui-ci étant en permanence exposé aux comportements « à risque » des utilisateurs.

Toutefois, comme le souligne Cathie-Rosalie Joly, Avocat au barreau de Paris du Cabinet Ulys, la protection de son patrimoine informationnel est loin d’être une mince affaire pour une entreprise. En effet, le savoir-faire est très difficile à protéger, notamment en raison du problème de brevetabilité. Afin de répondre à cette problématique, le député Bernard Carayon a d’ailleurs déposé une proposition de loi à l’Assemblée Nationale, en début d’année, visant à protéger l’information à caractère économique. Même si nous n’en sommes encore qu’aux prémisses, ce projet démontre la volonté de se pencher sur la question du patrimoine informationnel.

Pour Eric Soares, Vice président région Ouest de Symantec, nous partons d’une informatique structurée vers une informatique beaucoup plus ouverte. On doit donc être capable de savoir ce qui se passe en interne et en externe de son entreprise, mais aussi où se trouvent les informations sensibles. Pour ce faire, il faut instaurer une véritable intelligence numérique en entreprise. Sur ces aspects, comme le fait remarquer Olivier Prompt, Responsable Avant Vente Solutions Sécurité Oracle, la mise en œuvre d’une politique de traçabilité est essentielle, afin d’avoir toujours un œil aguerri sur son patrimoine informationnel, et notamment les données les plus critiques.

SI sans frontières

Selon les résultats de l’étude, 67% des répondants n’autoriseraient pas leurs collaborateurs à se connecter au SI depuis leurs appareils personnels. 19% l’autoriseraient seulement pour une catégorie d’entre eux (VIP…). Concernant le pourcentage du SI acheté sous forme de service (SaaS, ASP, cloud) : 77% des participants y auraient recours en faible proportion (de 0 à 15%), 15% d’entre eux de 15 à 30%, et 5% de 30 à 50%. On observe toutefois une marge de progression certaine sur cet aspect. 27% des répondants ont établi des règles claires en matière d’externalisation, de SaaS et de Cloud Computing. Enfin, 71% d’entre eux sont convaincus que le cloud computing va transformer la Sécurité des Systèmes d’Information en Sécurité de l’Information.

Pour Hassan Maad, C.O.O. d’Evidian, on observe une tendance certaine à l’externalisation, même si certains résistent encore. Les résultats de cette étude montrent que de nombreuses choses sont en préparation dans le domaine de la classification et de la protection de l’information. Il apparaît nécessaire aujourd’hui de mettre en place une gouvernance de l’information, afin que seules les personnes concernées aient accès à l’information. En outre, la sécurité doit se focaliser sur l’information et non plus l’infrastructure.

Comme le souligne Arnaud Gallut, Directeur des ventes de solutions de sécurité de CA Technologies, la dépérimétrisation accroît considérablement les risques pour l’entreprise. Que faire alors pour protéger le cœur de métier de l’entreprise ? Il faut recentrer la sécurité sur l’information et replacer la sécurité d’une information au niveau de la gouvernance.

Pour Laurent Maufras du Chatellier, Directeur des Ventes Tivoli, IBM, le nuage est incontournable ; la question est de savoir ce que l’on veut y mettre, quels informations, applications, processus, … C’est une tendance inévitable, mais beaucoup « apprennent en marchant », commettant ainsi des erreurs de débutants.

Même s’il s’avère être une opportunité sur de nombreux aspects, le cloud est généralement imposé par le business. Quels leviers s’offrent alors au RSSI, qui doit le plus souvent agir comme un pompier ? Comment faire évoluer les équipes informatiques face à ces problématiques ? Autant de questions qui restent aujourd’hui en suspens et qui représentent un véritable casse-tête pour les RSSI. C’est toute une gestion du changement qui doit s’opérer dans l’entreprise. Néanmoins, mettre les informations dans le cloud ne signifie pas forcément une perte de contrôle et de maîtrise.

Outre la réduction des coûts inhérente au Cloud Computing, le responsable souhaiterait se dédouaner de sa responsabilité vers un acteur externe. Toutefois, on peut tout outsourcer, sauf la responsabilité. Cette volonté restera donc un mythe !

Protection face aux nouvelles menaces : de l’illusion à la désillusion ?

Plus de 60% des entreprises interrogées ont été victimes d’attaques. Stuxnet représente un problème pour une grande majorité d’entre elles (68%). Pour contrer ces attaques, un certain nombre de moyens de protection sont déployés au niveau des équipements, parmi eux on relève l’antivirus, le chiffrement, les moyens de connexion sécurisée ou encore le contrôle de conformité de la PSSI. Toutefois, selon les répondants, dans 72% des cas, les solutions de protection mises en place ne s’avéreraient que partiellement efficaces.

Parmi les principales techniques d’attaques, Bernard Ourghanlian, Directeur de la Technologie et de la Sécurité de Microsoft France, relève une utilisation massive de l’ingénierie sociale, mais aussi des défaillances du système, via notamment des infrastructures non mises à jour. On observe une utilisation significative de failles relativement simples, profitant souvent du nombre significatif d’utilisateurs ayant des privilèges pour prendre le contrôle du réseau. En parallèle, on remarque aussi un certain nombre d’attaques sophistiquées et ciblées.

En effet, comme l’explique Luis Delabarre, CTO France de Trend Micro, on observe, d’une part, des cas tels que Sony. Le système n’était pas patché, une simple faille a ainsi permis l’attaque. Tandis que des cas comme Stuxnet sont relativement complexes, sophistiqués et ciblés. Ce spectre extrêmement large d’attaques s’avère difficile à gérer pour les RSSI et fournisseurs de solutions.

Pour Philippe Courtot, Chairman & CEO de Qualys, on observe d’un côté une professionnalisation des attaques. De l’autre, le réseau est devenu un vrai gruyère. La diversité des menaces fait qu’on ne peut pas avoir de solution unique. Il n’existe pas d’outil à la taille du problème.

Alors que faire pour pallier ces menaces ? Le patron de Facebook se propose de mettre en place un système de prime pour chaque faille détectée, est-ce un moyen efficace de lutter contre ces menaces ? Pour sa part, Bernard Ourghanlian n’a pas le sentiment que ce soit la bonne solution ; le fait de donner une prime est la porte ouverte à beaucoup de dérives. Pour lui, il est plus intelligent d’établir un dialogue avec les chercheurs en sécurité de manière à ce qu’ils gagnent en réputation et notoriété et non en argent. En ce qui concerne la lutte contre le social engineering ou les systèmes non patchés, il estime que l’accumulation d’outils seule ne pourra pas résoudre ce problème. D’autant qu’un certain nombre de principes de base ne sont toujours pas respectés. Avant d’empiler, il faudrait déjà revoir la base.

Luis Delabarre souligne, quant à lui, une difficulté des éditeurs de répondre de manière réactive à la problématique de patch des vulnérabilités. De plus, en ce qui concerne le patch management, les enjeux ne se situeraient pas au niveau des infrastructures, mais des applications. Pour Philippe Courtot, le cloud permet en la matière d’automatiser la gestion des patchs, et donc d’assurer une sécurité de l’infrastructure en continue. Pour ce qui est des applications, c’est beaucoup plus compliqué.

Pour Luis Delabarre, les infrastructures sont une chose, mais il ne faut pas oublier les données. En effet, l’accès aux données se fera à travers n’importe quel équipement. Alors, faut-il protéger l’endpoint ou la donnée en tant que telle ? Pour Philippe Courtot, l’endpoint ne devient jamais qu’un point d’accès. Avec la déperimétrisation, comme le souligne Bernard Ourghanlian, on a déjà plus ou moins désintégré ce périmètre. Il faut donc repenser aujourd’hui la façon dont on protège les données. Face à ces problématiques, l’ampleur de la tâche des RSSI ne cesse de croître et son rôle dans l’entreprise devient de plus en plus large.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants