La virtualisation amène comme toute nouvelle technologie son lot de nouvelles menaces. VMWare l’a très bien compris, puisque la société a sortie récemment l’API VmSafe qui permet aux éditeurs de sécurité de connecter plus facilement leurs solutions a souligné Bill McGee, VP Products & Technology de Third Brigade. Sa société propose donc de positionner des IPS et IDS sur les machines virtuelles. Aujourd’hui, deux philosophies coexistent soit le placement sur chaque machine virtuelle hôte, soit entre les switchs qui se trouvent entre les hyperviseurs. Third Brigade avec sa solution Watchdog VM propose de déployer une appliance virtuelle et des agents sur chaque machines virtuelles au niveau de l’OS.

Le Cloud Computing l’avenir de la sécurité de demain dans le nuage !

Sans conteste le Cloud Computing devrait être la technologie de demain. D’ailleurs, le Gartner estime que d’ici à fin 2010, 40% des entreprises devraient y avoir recours. Ainsi, les offres dans ce domaine se multiplient. Par exemple Third Brigade propose de positionner des IPS/IDS dans le nuage. Pour Mike Smart, Senior Product Marketing Manager de Secure Computing, le Cloud Computing est la réponse aux nouvelles menaces en permettant d’avoir une approche globale du risk management.

Cependant, si tout le monde « a les yeux de Chimène » pour le Cloud Computing, il ne faut pas en ignorer les menaces. En effet, les fournisseurs deviennent des proies faciles à identifier pour les pirates informatiques qui peuvent y trouver dans une attaque réussie la possibilité de dérober de très nombreuses bases de données appartemant à aux entreprises clientes… Andy Dalrymple, Managing consultant, Information Risk Management de Global Secure Systems Ltd a dressé un rapide panorama des avantages et risques du Cloud Computing. Pour lui, les principaux avantages sont au nombre de trois : le peu d’investissement, la réduction des infrastructures nécessaires et la rapidité de mise en œuvre. Par contre, Quid de ce qu’il a appelé la C.I.A. pour « Compliance, Integrity Aviability ». Dans ces trois domaines, le donneur d’ordre doit être vigiliant non seulement au moment de la sélection de son fournisseur, mais aussi tout au long de la durée du contrat. Il a conseillé de procéder à des audits réguliers de son fournisseur afin de valider en permanence que le niveau de sécurité est maintenu en particulier face aux innovations technologiques et des nouvelles obligations réglementaires. Il a aussi insisté sur la nécessité de crypter toutes les données qui transitent dans le nuage. Toutefois, selon Andy Dalrymple, sous toutes les réserves mentionnées, la Cloud Computing est vraiment l’avenir des SI.

La sous-Traitance en question

Quant on parle de Cloud Computing, il faut aussi aborder le problème plus large de la sous-traitance. Ainsi, Chris Jones, President d’Actify Inc. a mis en avant la problématique du maitien de la confidentialité des données due au recours à la sous-traitance. En effet, de plus en plus de Grands Comptes ont font appel à des PME pour effectuer toutes sortes de tâches. Il a donné plusieurs exemples montrant l’incidence des pertes de données sur des entreprises comme Xeros, ou Kodak qui ont perdu des millions de dollars par le vol d’informations confidentielles. Il propose donc, d’inclure dorénanvant les sous-traitants dans la politique de sécurité de leurs donneurs d’ordre.

Le crytpage à l’affiche

Le cryptage devrait aussi enfin voir sa démocratisation dans les entreprises. En effet, les pertes de données confidentielles se multiplient à la vitesse de la croissance des ventes des produits de mobilité (PC, PDA, Smartphones, clé USB…), mais aussi de la montée en croissance du Cloud Computing, de l’externalisation... sans compter la poussée des règlementations en matière de perte de données confidentielles. Et la crise en cours avec les immancables réductions des budgets devraient pour le coup profiter aux offreurs de solutions. Ainsi, Thales a racheté Ncipher, Sophos a fait l’acquisition d’Utimaco… de plus en plus d’éditeurs se concentre sur ce marché prometteur. Pourtant faut-il tout crypter ? Quels outils utilisés ? Les opinions sur le sujet s’opposent.Pour les uns, il est nécessaire d’avoir recours à la classification des informations afin de ne crypter que les données sensibles. Pour les autres, tout ce qui est mis dans le nuage du Cloud Computing ou adressé à ses prestataires, sous-traitants doit être chiffrés… Pour le Dr Bernard Parsons, CEO de Becrypt, les entreprises doivent prendre exemple sur les politiques de sécurité gouvernementale en matière de classification des informations. Il considère que le cryptage permet aussi de développer chez les utilisateurs la culture du risk management et donc de réduire le nombre d’erreurs.

Mark Kignht, Director of Product Management de Thales, propose une méthode de classification des données qui repose sur 3 facteurs en fonction de la qualité des données et de leur validité dans le temps. Selon lui, le cryptage est rendu d’autant plus aisé que les solutions se multiplient mais aussi que des outils existent nativement dans les softs courants comme Windows. Bien entendu, la stratégie de chiffrement doit être cohérente à la politique de sécurité et aux règlementations en vigueur.

Si Stephen Midgeley, Director d’Absolute Software Corp reconnait que le crytpage devient une nécessité, il est, toutefois, persuadé que c’est encore insuffisant au regard des statistiques de pertes d’outils de mobilité (PC, Smartphones, PDA…) ainsi, il propose un service qui permet à l’aide d’un soft d’activer le chip contenu dans les PC portables afin de repérer les machines dés qu’elles se connectent à internet. Sa hot line contacte alors les services de police le plus proche de la machine ce qui permet en principe de la retrouver assez rapidement. Il a annoncé que son soft est aujourd’hui compatible avec Windows Mobile et sera aussi validé d’ici à mars pour les BlackBerry.

…Et les données, l’objet de toutes les attentions

Le cryptage est sans doute la solution efficace pour protéger les données mais comment garantir que ces informations sont authentiques ou qu’elles ont été modifiées en toutes légitimitées ? C’est ce que propose de garantir Guardium. Ron Bennantar, le CEO de Guardium a montré que les bases de données sont de plus en plus exposées aux menaces. En effet, elles peuvent être compromises, volées afin d’autant plus de facilité qu’on peut les trouver sur plusieurs endroits du SI à l’insu des adminsitrateurs ou encore du fait des stratégies de sécurité mises en défaut par des mots de passe « postérisés » sous les claviers ou directement sur les écran... Ainsi, il recommande de déployer des solutions de sécurité nativement incluse et de pratiquer des audits réguliers, de faire des restrictions d’accès aux données et de vérifier régulièrement les « SYS conntecions ». Mais aussi de surveiller les personnels à risque comme les adminsitrateurs de bases de données. Dans ce domaine, Mark Fullbrook Director UK et Ireland de Cyber Ark est venu présenter sa solution de coffre fort logique qui permet de tracer simplement les actions des adminsitrateurs, réduisant ainsi les possibilités d’erreurs volontaires ou non de manipulation.

Les utilsiateurs doivent toujours et encore être sensibilisées aux nouvelles menaces

Tel le Tonneau des Danaïdes, la sensibilisation des utilisateurs doit sans cesse être renouveler d’autant que les technologies, comme on l’a vu, se renouvellent amenant de plus en plus de menaces. Anton Grashion, EMEA Strategist Security de Juniper propose de mettre en place une stratégie de NAC adapté aux utilisateurs pour les inciter à adopter une attitude face au risque. Cet outil intelligent apprend le comportement habituel des utilisateurs et peut bloquer de façon automatique tout « attitudes jugées risqués selon la politique de sécurité en vigueur ».

Pour ce qui concerne la formation, Paul Williams Chair ISACA Strategic Advisory Group, IT Governance Adviser to Proditivi, a rappelé l’importance de la formation et de la certification pour les RSSI.L’ISACA a édité récemment un guide de valorisation des CV de la profession. Il a mis l’accent sur l’importance de l’approche CobIT qui permet de prendre la mesure des besoins en fonction des types d’utilisateurs.

Bill Rann, Head of UK Business Continuity, Security & Governance Practice de BT Global Service est intervenu sur le thème de l’intégration des jeunes générations dans les entreprises. En effet, les habitudes de surf de ces jeunes sont souvent à risque pour les SI : connexion sur des réseaux sociaux, sur des sites de jeux comme SecondLife, utilisation de la messagerie instantannée, téléchagements de logiciels,… Ces comportements sont aussi des vecteurs de pertes de temps de travail plus ou moins importantes. Il a donc recommandé vivement de former ces jeunes dés leur intégration dans les entreprises. La stratégie du « tout interdit » étant un leurre, il recommande au contraire de saisir les nouvelles opportunités fournis par le Web 2.0 et les outils collaboratifs pour par exemple améliorer la qualité des recrutements via FaceBook… En conclusion, il estime que l’intégration des nouvelles générations doit être perçue comme un challenge et non une menace interne…

Les audits de sécurité des SI mais aussi des logiciels un marché en plein boum

John Coly, Managing Director EMEA de (ISC)² a insisté sur l’importance des outils de test et d’audit en matière de sécurité tant pour les SI que pour les logiciels utilisés.Bien sûr, ces solutions doivent s’accompagner d’une organisation sans faille. (ISC)² a édité un guide qui permet de couvrir les pricnipaux aspects à prendre en compte dans lequel figure la gouvernance, la sécurité des logiciels, le déploiement des outils de sécurité…

Ces audits montrent très souvent que les patches de sécurité ne sont souvent pas appliqués, malgré les recommandations des éditeurs. Chris Schwartzbauer, Vice President de Shavilk a souligné que Microsoft n’avait publié que 22 bulletin de sécurité alors que les autres systèmes en ont édité 33 en 2008. Pour lui, la complexité des systèmes doit conduire les RSSI a non pas se focaliser sur les menaces, mais plutôt sur les objectifs de sécurité que l’on s’est fixé et de les analyser régulièrement. Les solutions de vérifications d’application des patches de sécurité proposé par Shavlik est embarqué en OEM dans la plupart des solutions de sécurité comme celle de Microsoft, de Juniper… .

Gidi Cohen, CEO & Founder de SkyBox a expliqué qu’entre les failles de sécurité, les erreurs humaines, les contraintes réglementaires… il est nécessaire d’auditer de façon régulière les SI. Aujourd’hui, les audits manuels coutent chers, car ils prennent du temps et son de plus en plus complexes à réaliser à la mesure de la complexité des SI, Il propose donc une solution d’audit automatisé qui permet de réaliser des audits plus régulier jusqu’à être quotidien d’autant qu’ils ne prennent pas que peu de temps. Il a donné des exemples de grands comptes qui auraient divisé leurs factures d’audit par 4 à 6 suivant la taille de leurs SI…

Ari Takanen, CEO de Condenomicon a mis l’accent sur les techniques de fuzzing de plus en plus à la mode chez les éditeurs mais malheuresement aussi chez les pirates informatiques. Ces techniques permettent de déceler les vulnérabilités des logiciels. Ce marché aujourd’hui est dédié au test et mesure pour la R&D et au test des softs en particulier des produits de sécurité. Son entreprise a développé depuis quelques années des outils de tests automatiques qui permettent d’améliorer la qualité de logiciels mis sur le marché. Pour lui, faire du fuzzing, c’est accepté la critique… Sans doute une leçon de modestie bien venue dans le monde la sécurité….