Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Conférence Orange Business Services : la sécurité dans un monde connecté !

novembre 2012 par Marc Jacob

Orange Business Services a organisé en partenariat avec Qualys, ArcSight (HP) et Juniper Networks une conférence dont le titre était : la sécurité dans un monde connecté. Cette session qui regroupait un certain nombre de clients d’Orange Business Services était animée par Philippe Rosé, Rédacteur en chef de Best Practices SI et éditeur d’IT Business Review. Après le message de bienvenue de Philippe Landeau, Business Developper, et Géraud de Chanterac, Directeur Grands Comptes Commerce, Transport, Tourisme et Média d’Orange Business Services, les débats ont été lancés.

En préambule, Eric Domage, Director for Strategy & Market Insight chez Orange Business Services, a montré que le marché de la sécurité augmente de près de 10% tous les ans malgré la crise. Cette croissance est due à l’évolution de l’IT, en particulier avec l’ouverture des réseaux, l’avènement de la mobilité, des réseaux sociaux, du Cloud Computing… Ainsi, on se trouve aujourd’hui dans ce qu’il a appelé « le Chaos ! » Il faut rajouter à ces phénomènes une prolifération des données avec une perspective de 35 Zeta bits de données à l’horizon 2020. Sans compter la croissance exponentielle des règlements et des lois qui permet entre autres d’encadrer la sécurité. Par ailleurs, du côté des offreurs, le marché est très fragmenté malgré les acquisitions. Dans le même temps, les entreprises se développent et s’étendent au niveau du nombre d’agences, elles ont donc besoin de toujours plus de mobilité et de communication. Ceci entraine une multiplication des risques : pertes de données, divulgation d’informations confidentielles, usages illicites… Par rapport à cette insécurité croissante, les clients rencontrent des difficultés, notamment le coût des solutions de protection, l’ambivalence entre flexibilité et sécurité, la simplification des procédures… Ainsi, le fossé se creuse entre les capacités de défense et les risques. Selon Eric Domage, plus on met de solutions de sécurité, plus les entreprises sont faciles à pénétrer, d’ailleurs plusieurs exemples le montrent au quotidien, comme tout récemment l’affaire de la NASA.

Le marché français de la sécurité est mature, a constaté Eric Domage, en montrant que la part des services dépasse celle des logiciels. D’ailleurs, les utilisateurs souhaitent avoir des prix en fonction des SLA et non plus acheter toujours plus de couches de protection. Concernant le BYOD, le marché reste faible, car il n’y a pas de solutions standards. Aujourd’hui, on est encore à devoir assembler des solutions en fonction des besoins... Pour le Cloud Computing, il estime que le débat aujourd’hui tourne autour des problématiques de lieux d’hébergement des données et des contrats.

Aujourd’hui, le problème est que les utilisateurs sont intelligents ! Il y a une forme de rébellion dans le comportement des utilisateurs, a-t-il lancé sous forme de boutade. Pour lui, les limites marketing de la peur sont atteintes, de même pour les arguments en termes de performances des outils de sécurité. Concernant la financiarisation du risque, ce sont les hackers qui déterminent le prix des données dérobées en les proposant à la vente sur leurs sites. Selon Eric Domage, « l’acharnement technique » a trouvé ses limites. Les OTT (Over The Top) devraient faire basculer le marché, c’est-à-dire qu’il attend l’avènement d’une société qui devrait déterminer et gérer la sécurité de bout en bout avec entre autres de la Security by Design. En attendant, les entreprises doivent être vigilantes sur la sécurité périmétrique et en profondeur, la gestion de vulnérabilités, la veille, l’analyse intelligente, la couverture des risques.
Il a conclu son intervention en rappelant qu’Orange était classé, selon le Gartner d’octobre, parmi les leaders du marché en Europe et dans le monde et que PAC classe Orange n°1 pour les services en France.

Les risques liés aux Smartphones se multiplient, mais les devices sont toujours mieux sécurisés nativement

Pierre Yves Gouradin, Senior Consultant chez Orange Consulting, a fait un état des lieux des risques liés à l’hyperconnectivité des collaborateurs, les nouveaux usages et les attentes en matière de Business Anytime - Anywhere avec Any Devices. Selon une étude d’Orange, il a 4 types de clients face à la mobilité : ceux qui sont dans le dénigrement total, ceux qui lancent des initiatives isolées, ceux qui ont des réflexions en cours, enfin ceux qui ont un positionnement mature. Dans ce schéma, on trouve l’utilisateur avec ses usages personnels et le SI de l’entreprise.

Pierre Yves Gouradin a mis en garde sur la prolifération des menaces ciblant les Smartphones. Par exemple, il a annoncé qu’Orange a détecté 700 millions de sites malveillants qui visent les devices mobiles. Face à ce phénomène, il constate que 79% des iPhones sont à jour du fait du marketing d’Apple. En effet, les utilisateurs d’iPhone souhaitent bénéficier de toutes les évolutions de l’OS. En revanche, seulement 10% des terminaux Android le sont. Il a montré la vidéo d’une démonstration d’attaques d’un client qui s’est fait dérober temporairement son terminal mobile. Ce dernier s’est aperçu qu’on lui avait installé un spyware. Une seconde vidéo montrait comment il était possible d’exploiter une vulnérabilité d’un site Web en procédant à une injection SQL
En revanche, le côté positif de la prolifération des Smartphones réside dans le fait qu’ils contiennent nativement un sandboxing, des droits d’accès et du chiffrement. Dans le futur, on devrait voir apparaître des chipsets de sécurité, de l’antivirus et des systèmes de sécurisation biométrique (digitale ou rétinienne) inclus nativement.

Toutefois, le risque majeur reste le facteur humain, en particulier du fait de sa méconnaissance des risques. Par exemple, 89% des usagers ignorent qu’ils peuvent se faire voler des informations sensibles contenues dans leurs Smartphones…

Les applications Web sont le talon d’Achille de la sécurité

Puis les tables rondes ont débuté par la gestion des vulnérabilité versus gestion des menaces, avec Eric Dupuis, Senior Manager d’Orange consulting, Frédéric Saulet, Managing Direcor South EMA de Qualys, et Olivier Delatre, Security Business Developper chez Orange Business Services.

Eric Dupuis a fait un point rapide sur l’évaluation des vulnérabilités face aux menaces : les sites Web sont toujours plus vulnérables, du fait de défauts lors de leurs conceptions. Frédéric Saulet a mis en avant la problématique des applications Web qui sont souvent développées trop rapidement en faisant trop souvent fi de la sécurité. On s’aperçoit que les failles sont toujours les mêmes : cross Scripting, injection SQL… ce qui est particulièrement dangereux avec l’augmentation exponentielle du nombre d’applications Web. Cette multiplication du nombre d’applications Web conduit à ce que les entreprises n’ont plus de cartographie de leur architecture... ce phénomène conduit donc à encore accroître les risques. Olivier Delatre a rebondi en mettant en avant les services d’Orange dont l’offre permet à la fois de réaliser une cartographie des risques et surtout de proposer une remédiation. Effectivement, a renchéri Frédéric Saulet, la remédiation est très importante. En ce domaine, les RSSI doivent travailler en amont avec les Web Agencies. Il est aussi impératif que les entreprises identifient tous les Assets présents dans leurs infrastructures. Eric Dupuis et Olivier Delatre ont recommandé de faire de la qualification en termes de sécurité des applications Web.

Le log management est le ciment des politiques de sécurité

La seconde Table ronde a été consacrée aux enjeux des événements d’une vulnérabilité pour créer une politique de risk management et du Log Management. Elle était animée par Alexandre Depret Bixio, Regional Sales Manager d’ArcSight-HP, accompagné d’Eric Dupuis et d’Olivier Delatre. Eric Dupuis a repositionné la gestion dynamique des événements. Actuellement, les entreprises vont de plus en plus vers la veille, les alertes et les réponses avec l’analyse post-mortem. Alexandre Depret Bixio a rappelé que, chez ArcSight, ces enjeux sont fondamentaux. Dans le SIEM, on a l’habitude de dire que « l’on constate bien que ce que l’on peut voir »… L’important dans le SIEM est de créer les bons indicateurs pour déceler ce qui est stratégique en termes d’alarme. Selon Alexandre Depret Bixio, il est nécessaire de créer un Framework de sécurité afin d’obtenir : une approche proactive pour répondre au volet de la conformité, rendre visible les vulnérabilités et avoir une approche des Asset Management et du Risk Management. La gestion des Logs est, pour lui, le ciment de cette stratégie. Ainsi, les métiers doivent pousser l’avènement de SOC. Par contre, il faut être ambitieux pour créer un SOC en créant les bons uses cases. « Pour cela, il est nécessaire de se faire accompagner par une société de consulting et d’intégration, d’autant que les règles définies doivent vivre en permanence au rythme des évolutions du SI et des menaces, comme par exemple Orange, notre partenaire » a conclu Alexandre Depret Bixio.

Pour ce RSSI, le SIEM est intéressant pour repérer les APT qui sont aujourd’hui de plus en plus nombreuses et ciblent surtout les grandes entreprises. Pour lui, aujourd’hui les pirates informatiques sont devenus des délinquants financiers. Ce RSSI explique que le problème du SIEM est de trouver ce que l’on ne cherche pas. Ainsi, par exemple, un outil comme Picviz est très utile pour arriver à avoir les bonnes remontées. Eric Domage a rappelé qu’Orange a mis en place « un SOC de SOC » couplé à une analyse par des experts qui adressent à leurs clients des alertes en cas de problèmes. Toutefois, la décision d’action reste entre les mains de ses clients.

Sécurité des Smartphones : Les App Stores sont particulièrement attaquées

La troisième table ronde a mis en avant les enjeux du BYOD en termes de sécurité. Eric Sicard, Account Manager de Juniper Networks, accompagné d’Eric Dupuis et Olivier Delatre ont animé cette session. Eric Dupuis a, une fois de plus, dressé un rapide panorama des enjeux du BYOD et de la dépérimétrisation de l’entreprise. En ce domaine, la problématique principale concerne les frontières de responsabilité et les risques sur les usages, en particulier sur les données. Le premier problème est la connexion à l’entreprise. Eric Sicard a expliqué que la stratégie de Juniper est bâtie sur son offre de solution qui va des switch au Wi-Fi, avec en particulier l’offre Junos qui permet à ses clients d’avoir une stratégie de sécurité tant pour la connexion des Devices, du BYOD et des accès invités. Aujourd’hui, Eric Sicard a expliqué qu’il y avait de nombreuses attaques sur les App stores qui permettent par rebond de réaliser des infections de masse. Pour Eric Dupuis, le principal risque réside dans l’acception des utilisateurs des règles de sécurité, en particulier pour les Smartphones. En effet, ils veulent installer de nombreuses applications sur leur devices qui très souvent sont des vecteurs d’attaques. Pour obtenir cette adhésion, il faut faire simple. C’est d’ailleurs ce que propose l’offre Junos, a rappelé Eric Sicard.

Lorsqu’un distributeur spécialisé déploie le Wi-Fi et se transforme en FAI…

Un client d’Orange dans le domaine de la distribution spécialisée a expliqué comment il avait déployé un Wi-Fi sur 189 magasins pour réaliser des démonstrations de tablettes Apple et de télévisions connectées. Le déploiement a été réalisé en trois mois. Ce réseau est limité aux iPhones et télévisions connectées, avec bien sûr la mise en œuvre de clés WPA. Ces accès Wi-Fi lui ont aussi permis de mettre en place un back up pour les flux critiques, comme la monétique. Toutefois, ce n’est pas tant la technologie que les règlementations qui ont soulevé le plus de problèmes pour cette entreprise. En effet, en déployant son réseau Wi-Fi, elle s’est transformée en FAI, ce qui l’a conduit à tomber sous le joug des contraintes règlementaires en matière de logs. Ce qui aujourd’hui lui pose le plus de problèmes est le fait que les clés pour des besoins internes ont été divulguées à tout ou partie des employés. Ce phénomène a entrainé des connexions de devices non souhaitées... renforçant de fait sa responsabilité en tant que FAI. Pourtant, malgré ceci, son réseau devrait encore évoluer et aller sans doute vers des accès « Guest ». D’ores et déjà, il considère qu’il va être assez difficile pour lui de demander à ses clients de s’authentifier. Un RSSI est intervenu en expliquant que pour obtenir la connexion Wi-Fi, il demande au client de mettre son numéro de mobile afin de recevoir un mot de passe en SMS… Par contre, avec les télévisions connectées en IPV6, ce système tombe à l’eau… s’est exclamé un autre RSSI.

En conclusion, Thierry Evangelista, Responsable Marketing des services de Sécurité, et Nicolas Furgé, Head of Security Services d’Orange Business Services, ont présenté la stratégie de leur entreprise. Nicolas Furgé a rappelé que depuis deux ans son entreprise a mis en place des services : de Remote Access avec Juniper en mode SaaS, d’identité et d’authentification en mode SaaS et de SOC en collaboration avec ArcSight-HP et Qualys. Thierry Evangelista a présenté la vision d’Orange Business Services à l’horizon 2015. Son entreprise devrait aller vers encore plus de services professionnels avec une offre de consulting, mais aussi des services de sécurisation des infrastructures (création d’infrastructures de sécurité et résilientes), mais aussi autour de l’environnement de travail avec le BYOD, l’identité… enfin de conformité et de gestion des risques. Le portfolio d’Orange Business Services va s’axer pour les prochaines années sur 4 points : la sécurisation des environnements mobiles, l’authentification forte jusqu’à la fédération des identités, le log et le management des événements, et la gestion des risques et de la conformité.

Hervé Hamon, Directeur Grands Comptes informatique, Technologie et Services d’Orange Business Servcies, a conclu la journée en rappelant que les difficultés inhérentes à la sécurité conduisent à beaucoup d’humilité, mais aussi au fait que l’humain reste encore et toujours le maillon faible de la chaîne.




Voir les articles précédents

    

Voir les articles suivants