En préambule, Hervé Schauer, Fondateur d’HSC, dresse un aperçu des menaces et vulnérabilités auxquelles les entreprises sont aujourd’hui confrontées. Toutefois, comme il l’explique, la plupart d’entre elles ne datent pas d’hier.

Menaces : des Script-kiddies à l’espionnage étatique

La menace qui guette actuellement les SI est belle et bien réelle : près de 110 000 nouveaux fichiers malfaisants seraient recensés par jour ; environ 6 millions de PCs rejoindraient un botnet chaque mois ; près d’un million de binaires malfaisants ou indésirables seraient recensés pour les mobiles ; sans compter que la moitié des termes les plus recherchés pointeraient vers des sites malveillants…

Qui sont les pirates qui se cachent derrière ces méfaits ? Parmi eux, on retrouve bien entendu les Script-kiddies. A titre d’exemple, on peut citer :
– Dylan et son virus ayant affecté 17 000 ordiphones Android en novembre 2012 ;
– En mars 2013, trois jeunes paraissaient devant la 12ème chambre du tribunal correctionnel de Paris ;
– Mais aussi le déni de service ayant eu lieu contre le site du ministère de la justice après la fermeture de MegaUpload.

Cependant, ce phénomène n’est pas le seul, puisque nous assistons depuis 2011 à une montée de la criminalité organisée sur Internet. En avril 2012, l’OCLCTIC procédait d’ailleurs à l’arrestation, sur la Côte d’Azur, d’un groupe de cybercriminels originaires d’Europe de l’Est. Trois mois plus tard, une quinzaine de ressortissants du Nigéria, accusés d’avoir causé d’importantes pertes financières à la SNCF, tombaient également dans les filets de l’Office Central de Lutte contre la Criminalité liée aux TIC.

Depuis 2010, on observe globalement une banalisation des logiciels malfaisants d’extorsion de données. Mettre en œuvre des moyens de lutte contre les logiciels malfaisants est quelque chose d’indispensable, souligne-t-il, malheureusement ce problème n’est pas encore suffisamment pris au sérieux. Sans compter que peu d’entreprises sont, en effet, prêtes à tester leur sécurité.

Depuis 2011, nous assistons, de plus, à une banalisation de l’hacktivisme. A titre d’exemple, en novembre 2012, le groupe de hackers Telecomix est venu en soutien aux opposants de l’aéroport Notre-Dame des Landes, en leur offrant une connectivité Internet gratuite et sécurisée, échappant à toute surveillance, et en initiant la population locale aux techniques de chiffrement. Les cas sont de plus en plus nombreux.

Les menaces proviennent, en outre, des états. Ces derniers affichent d’ailleurs ouvertement, depuis l’an passé, leur guerre sur Internet. Les gens « découvrent » soi-disant l’espionnage avec Snowden et l’affaire PRISM, alors que ce phénomène existe depuis fort longtemps et qu’ils ont déjà été, à plusieurs reprises, mis au fait de cette réalité.

De l’humain aux réseaux SCADA, en passant par les logiciels, les vulnérabilités sont multiples

Concernant les vulnérabilités, nous ne pourrons jamais échapper à celles inhérentes aux êtres humains eux-mêmes. L’utilisateur est et sera toujours un maillon faible, notamment les équipes informatiques et administrateurs qui s’avèrent être les plus dangereux, car ayant le plus de comptes à privilèges. Pour Hervé Schauer, aucun produit ne fait de la sécurité, seul l’humain fait de la sécurité, puisque c’est lui qui configure, programme, gère, alerte, analyse…

L’utilisateur est né avec la technologie dans les mains. Penser qu’on va pouvoir lui faire changer son comportement est une utopie. Bien sûr, on peut sécuriser les postes de travail, mais vous ne pourrez jamais sécuriser l’intégralité d’entre eux, puisque certains utilisateurs auront toujours leurs propres outils non-inscrits dans la politique de sécurité de l’entreprise. Cette idée de sécurité globale est donc une vue de l’esprit. Le BYOD est d’ailleurs un phénomène très ancien, explique-t-il. Beaucoup d’entreprises, déjà à l’époque, se seraient cassées les dents si leurs utilisateurs n’avaient pas pu disposer de leurs propres outils, notamment dans les ministères. Pour lui, lutter contre la modernité est vain et lutter contre le BYOD est un non-sens, sauf s’il s’agit d’un environnement restreint.

En ce sens, le cloisonnement est certes une solution qui a fait ses preuves depuis de nombreuses années, mais n’est pas non plus la solution ultime. Le BYOD doit être anticipé, accepté et intégré dans le respect de la politique de sécurité. L’objectif est de trouver un compromis entre sécurité et convivialité pour l’utilisateur.
Après, il est indéniable que le BYOD reste source de problématiques importantes, notamment en matière de conformité légale et de respect de la vie privée. Par exemple, le risque d’existence d’une base de données nominatives sur le terminal de tel ou tel utilisateur est bel et bien réel.

Autre source majeure de vulnérabilités : les logiciels sont truffés d’erreurs, ce qui soulève des problèmes de sécurité directement liés à la programmation et au développement. Aussi, il est essentiel d’appliquer les correctifs de sécurité : OS, logiciels, pdf, flash, java, applications Web en ligne… L’application de ces correctifs de sécurité doit se faire sur l’ensemble des postes clients.

Enfin, il cite les vulnérabilités touchant les réseaux SCADA, et là encore le phénomène n’est pas récent. Déjà en 1982, les américains auraient procédé au piratage du gazoduc transsibérien Urengoy-Pomary-Uzhgorod par cheval de Troie et bombe logique. L’architecture et les logiciels avaient été volés par le KGB à une firme canadienne. La CIA, étant au courant que le KGB allait voler le logiciel, l’avait donc saboté au préalable.
Depuis les années 2000, on assiste à l’apparition des systèmes industriels (SCADA) dans l’informatique sur étagère et les réseaux, et des convoitises associées. Il cite, par exemple, le cas de Telvent, victime d’attaques en septembre 2012. La compromission de la filiale canadienne du réseau Telvent avait permis à l’époque le vol de données clients, mais aussi le vol d’informations concernant leur produit OASyS SCADA.
Plus récemment, en avril 2013, l’usine américaine de traitement des eaux georgia water plant s’est également retrouvée au cœur d’un scandale, les taux de chlore et de fluor ayant été modifiés. Cette affaire a fait l’objet d’une enquête du FBI et entraîné l’arrêt de l’usine par précaution. Que se passera-t-il quand ce ne seront plus seulement le chlore ou le fluor qui auront été modifiés ?...

Pour Hervé Schauer, nous ne tirons pas encore suffisamment parti des exemples et incidents du passé. Globalement, les menaces et les vulnérabilités sont les mêmes qu’avant, même si leur nombre est en croissance constante. Toutefois, rien ne change vraiment du côté de la sécurité, conclut-il.

Face à l’expansion du BYOD, quelles solutions technologiques ?

Face à l’expansion du BYOD et à ces nouveaux enjeux pour les entreprises, comment contrôler et sécuriser les données d’entreprise circulant sur les mobiles personnels tout en préservant la confidentialité de l’environnement privé du propriétaire ? Accès à distance, droits d’accès, authentification forte multi-facteurs… Comment renforcer la sécurité des nomades en toute transparence et sans contraintes pour les utilisateurs ?

Pour Thierry Cossavella, CEO d’ATHENA Global Services & Auxiliance, et Benoit Grunemwald, Directeur Commercial chez ATHENA Global Services, représentant officiel d’ESET Antivirus en France, plusieurs solutions technologiques existent. « Spécialiste en sécurité depuis plus de 15 ans, ATHENA Global Services sélectionne des outils et solutions innovantes aux services des entreprises. Notre volonté est de rendre plus accessibles la sécurité et la disponibilité du SI », explique Thierry Cossavella. Pour ce faire, le groupe a choisi de collaborer avec les éditeurs suivants, dont les offres se veulent complémentaires :

– L’antivirus ESET, afin de protéger l’intégralité des parcs informatiques, des boîtes aux lettres aux serveurs en passant par les smartphones et autres postes de travail Windows, Mac et Linux. Basée sur la technologie NOD32, la solution élimine les différents types de menaces Internet. Reconnu pour sa qualité du moteur de recherche et sa légèreté, l’antivirus a été, à de nombreuses reprises, récompensé par le Virus Bulletin, et a même remporté l’Award des « 10 ans de récompenses consécutives au VB sans erreurs sur l’ensemble des environnements ».

– StorageCraft, pour ce qui touche aux plans de reprise d’activité. Les solutions ShadowProtect proposent aux administrateurs systèmes et réseaux une solution de plan de reprise d’activité qui garantit la haute disponibilité, la protection des données et qui assure la migration des systèmes pour Windows Server. ShadowProtect permet d’administrer les sauvegardes centralisées via une console de gestion, de consolider et de vérifier assidument les fichiers images de sauvegarde.

– DeviceLock, qui assure la protection contre la fuite de données et l’intrusion de menaces, et répond donc à la problématique du BYOD. Les solutions de DeviceLock permettent aux entreprises d’établir une politique ajustable pour établir comment, quand, vers où et par qui les données peuvent être ou ne peuvent pas être déplacées depuis des ordinateurs, smartphones, caméras, clés USB, CD/DVD-R, tablettes, imprimantes et même lecteur MP3.

– 8MAN propose une solution intégrée pour la gestion des utilisateurs et des droits d’accès à l’information en environnement Windows. Ses caractéristiques permettent d’informer, grâce à une présentation simplifiée, de documenter, grâce à la réalisation de rapports intelligibles, et d’administrer, grâce à son interface intuitive. 8MAN c’est la solution pour toutes les organisations souhaitant obtenir des informations sur les droits d’accès utilisateurs pour ainsi prendre le contrôle sur leur activité.

– EndSec est un portail de solutions dans le Cloud entièrement créé et administré par ATHENA Global Services. Vous y trouverez des solutions de messagerie collaborative SaaS, de filtrage des mails en SaaS, ainsi qu’une solution SaaS complète pour la destruction de données de tous vos espaces de stockage, que ce soit sur PC, MAC, Iphone, ou Ipad.
Athena Global Services a également mis au point un service d’audit de vulnérabilité de sites Web en mode SaaS pour permettre aux entreprises de scanner et analyser leurs sites institutionnels ou marchands. Ce service d’audit appelé, EndSec WebSure, utilise le moteur de détection Acunetix, intégré dans un processus automatisé en ligne, pour effectuer un contrôle complet du site à auditer.

– SMS Passcode offre une technologie d’authentification à deux facteurs. Cette solution combine à la fois une plateforme d’envoi OTP (One Time Password) avec un processus d’identification sécurisé. La solution repose sur une architecture solide et évolutive et ne nécessite aucun matériel propriétaire coûteux et physique.

– White Canyon assure la fin de vie de l’existant, de par la destruction définitive de toutes les données contenues sur les disques durs de l’entreprise. Agrée par le Département de la Défense des USA et certifiée EAL4, la solution WipeDrive répond à la fois aux problèmes de fonctionnement et de responsabilité dans les entreprises en cas de changement ou destruction de parc informatique.

– BeAnywhere Support Express est une solution avancée de type SaaS qui vous permet de prendre le contrôle à distance de machines sous environnement Microsoft® Windows® dans le but de fournir un support technique complet et rapide. Beanywhere permet d’assister plusieurs clients en même temps, de conserver des enregistrements vidéo des sessions et de fournir des rapports détaillés sur les interventions.

– CYAN Secure Web est une solution de filtrage pour assurer une navigation sécurisée. Proposée sous la forme d’une appliance ou d’une machine virtuelle, la solution Secure Web de CYAN Network Security est un proxy complet et simple à administrer. La fonction de filtrage Web permet de sécuriser et contrôler le flux de données en se basant sur des listes blanches, aussi bien pour des sites Web ou réseaux sociaux, que pour des applications distantes, quelle que soit leur origine (hébergement interne ou externe à l’entreprise, Cloud public ou privé, etc.).

– Enfin Auxiliance, filiale d’ATHENA Global Services. Le groupe propose, en effet, un certain nombre de services associés pour vous accompagner dans votre démarche de sécurisation : support technique, support premium, certification, déploiement, migration, transfert de compétences, formation. Il propose également des services d’externalisation de support technique et de helpdesk.