Global Security Mag : Pouvez vous nous présenter votre entreprise et son système d’information ?

Bernard Foray : Fondé en 1898, Casino est l’un des tout premiers groupes de distribution alimentaire français. Multiformat, Casino exploite un parc de magasins de plus de 9800 unités dans le monde, comprenant notamment en France 129 hypermarchés, 379 supermarchés, 489 magasins discount, 3500 supérettes et 257 restaurants. Au 31 décembre 2007, le Groupe emploie plus de 200000 personnes à travers le monde. Le groupe Casino exploite deux activités principales, la distribution et l’immobilier, et s’appuie sur les équipes de Casino Services et de Marchandises & Flux. Du fait du nombre d’enseignes le SI est à la fois centralisé et décentralisé. Il est composé d’environ 15 000 postes de travail, PC portables, machines virtuelles et serveurs d’infrastructure redondés se trouvant dans les datacenters du groupe (serveurs DNS, DHCP, WINS, etc.).

Les menaces se multiplient et les temps d’interventions se réduisent

Global Security Mag : Quelles sont selon vous les menaces qui pèsent sur les entreprises ?

Bernard Foray : Les menaces sont multiples et les attaques virales, bien qu’anciennes sont toujours présentes, mais aussi les rootkits, le spam, le phishing entrainant les utilisateurs vers des sites piégés pouvant potentiellement exploiter les vulnérabilités intrinsèques des OS ou des navigateurs.

A titre d’exemple dans les menaces qui nous entourent nous pouvons citer :
–  propagation de codes malicieux (vers, virus, phishing cheval de troie spyware, …)
–  attaques des composants des systèmes d’exploitation (navigateur, traitement de texte,…)
– attaques des applications (web services, buffer overflow, application tierce partie…)
– attaques de failles induites par les nouvelles technologies (voix sur IP, Wi-fi, Bluetooth, RFID…)
– attaques au travers d’outils de Peer-to-Peer (messagerie instantanée, …)
– attaques sur les outils de mobilité (PDA, media transportable, clef USB…)
– intrusion (vol d’information, utilisation de ressources, rebond pour attaquer d’autres cibles….)

Global Security Mag : Quelle est la problématique pour les entreprises ?

Bernard Foray : La première problématique est liée à la croissance des outils de communication. En effet, les utilisateurs se connectent au SI de l’entreprise en tout lieu, à toute heure. Ils ouvrent ainsi des brèches de sécurité engendrant de nombreuses menaces potentielles. Ces terminaux doivent donc être le plus rapidement possible mis à jour en termes de correctifs.

La seconde problématique provient des services Web qui sont de plus en plus exposés aux menaces. Nous observons régulièrement des tentatives d’exploitation des vulnérabilités sur le middleware et les applications (formulaires). Les applications métiers et les services d’infrastructure sont sujets eux aussi à des erreurs de programmation qui les rendent vulnérables.

La complication vient du fait que les exploitants sont confrontés à de nombreux problèmes relatifs à la mise en œuvre de patchs de sécurité parmi lesquels on trouve :

– la multiplication des vulnérabilités et la rapidité de propagation des menaces
– l’expertise nécessaire à la mesure d’impact et aux tests de non-régression
– les coûts humains de déploiement (du patch ou d’une solution de contournement)
– la réduction de la surface d’attaque (par un déploiement accéléré du patch)
– l’hétérogénéité des plateformes
– le périmètre géographique
– la disponibilité ou plutôt l’indisponibilité que peut générer la mise en œuvre d’un patch de sécurité (ne serait-ce que pour redémarrer un serveur)

Devant l’ensemble de ces menaces, les équipes n’ont que très peu de temps pour agir et protéger le SI. Il est donc nécessaire de mettre en place des outils techniques et une organisation pour les parer et mettre en place les correctifs.

Global Security Mag : Justement, quels sont les outils techniques et l’organisation à mettre en œuvre pour évaluer les menaces ?

Bernard Foray : Nous utilisons les bulletins de sécurité envoyées par Microsoft (et d’autres sources) et une méthode de requalification environnementale des vulnérabilités des systèmes : Common Vulnerability Scoring System (CVSS). Ce dernier nous aide à estimer la sévérité et l’impact potentiel de l’exploitation de la vulnérabilité publiée par les éditeurs. Toutefois, comme ces sources d’information sont gratuites, elles ont aussi l’inconvénient de ne pas faire un tri des informations qu’elles contiennent. C’est à partir de leurs conclusions, que sont déterminées les priorités et les urgences. Par ailleurs, une autre difficulté réside dans la programmation de la diffusion des correctifs. Avec l’ouverture de plus en plus courante des magasins le dimanche, les fenêtres de diffusion des patchs se réduisent. En conséquence, nous devons soigneusement les préparer et programmer. Nous avons mis en place une démarche en plusieurs étapes qui nous permet de prendre en compte toutes ces exigences et de réduire la fenêtre de vulnérabilité.

En premier lieu, avec différentes équipes, nous réalisons un inventaire, une classification et examinons la conformité de notre parc informatique. Puis, nous identifions la vulnérabilité en faisant de la veille, mais aussi par une première analyse de la pertinence du déploiement d’un patch et des procédures à lancer avec bien sûr le cas échéant des recommandations d’urgence. Enfin, nous planifions et évaluons, le déploiement du patch en fonction du degré d’urgence. Bien entendu, nous prévoyons des tests et une période de qualification sur maquette. Enfin, nous passons à l’étape du déploiement avec un suivi et une phase de reporting.

Pour résoudre le problème des correctifs, nous avons mis en place une procédures en 11 étapes

Global Security Mag : Comment avez-vous fait pour résoudre le problème de déploiement de correctifs ?

Bernard Foray : En déclinant une procédure articulée autour de 11 étapes et centrée sur quatre points clés. Une bonne gestion des mises à jour de sécurité doit commencer par le plus facile afin de diminuer rapidement la surface d’attaque potentielle et de « roder » le processus.
La première étape consiste à qualifier la vulnérabilité dans l’environnement de l’entreprise, déterminer les acteurs concernés et le degré d’urgence de la mise en place du correctif. Le périmètre sur lequel ce correctif va s’appliquer est dressé à partir de l’inventaire de l’existant, qui décrit les caractéristiques des systèmes cibles et des applications qu’ils embarquent. Les systèmes moins exposés ou plus critiques devant être arrêtés pour la mise en place des correctifs de sécurité sont traités dans un deuxième temps.

La seconde étape consiste à soumettre préalablement les correctifs à des tests d’intégration et de non-régression. Nous vérifions qu’ils n’ont pas d’effets de bord dans leur périmètre. En effet, il faut éviter « le patch du patch », et donc s’assurer que le nouveau patch se désinstalle facilement en cas de nécessité.

La troisième étape est l’information et la communication vers l’utilisateur. L’opération doit être, bien évidemment, la plus transparente possible pour les collaborateurs. Cependant, dans les quelques cas où ils seront mis à contribution, par exemple pour redémarrer leur poste de travail, la communication doit être la plus claire possible afin d’éviter tous dysfonctionnements.

Enfin, dernière étape cruciale est le suivi du déploiement du patch et la gestion des exceptions et anomalies.

Dans toutes ces phases et ces points fondamentaux, de nombreux acteurs sont amenés à intervenir. Le rôle de chaque responsable doit être alors clairement précisé, le timing d’intervention défini, et des points de contrôle mis en place afin d’optimiser l’efficience du processus.
Même avec cette méthode le déploiement des correctifs n’est jamais résolu à 100% car les corrections ne sont pas instantanées. Toutefois l’objectif est de réduire au maximum la fenêtre de temps pendant lequel on reste vulnérable, mais aussi la surface d’attaque. potentielle

Global Security Mag : Quelles sont vos recommandations en matière d’organisation et de déploiement d’outils pour effectuer des tests de non régression ?

Bernard Foray : Il est très difficile de faire des tests de non régression exhaustifs. Notre objectif est de faire quelques tests pertinents sur un échantillon représentatif sur les applications des processus métiers les plus critiques pour l’entreprise. Cependant les patchs se désinstallent maintenant plutôt facilement. Cela nous permet de prendre des risques mesurés et évite de mettre en place une batterie de tests de non régression conséquente. En effet, nous avons des centaines d’applications et il est donc quasi impossible de tester tous les cas de figures…

Un déploiement des correctifs en mode pull et push est recommandé

Global Security Mag : Quels sont, selon vous, les outils les plus adaptés à cette stratégie ?

Bernard Foray : Il est nécessaire de mettre en place deux types d’outils un en push et un second en mode pull qu’il faut combiner de manière simultanée de façon pour un déploiement du correctif avec la meilleure couverture possible. Pour les correctifs sur les postes de travail, nous avons adopté généralement une télédistribution en mode pull, gérée par WSUS d’autant que la version 3.0 a amélioré ses capacités de reporting. Les postes de travail étant régulièrement arrêtés en dehors des plages de travail leur mise à jour est réalisée lors de leur remise en route automatiquement et sans intervention de l’utilisateur final.

Par contre, les correctifs des serveurs ou les correctifs urgents sont diffusés en mode push, par une solution de télédistribution classique. Quant aux correctifs les moins urgents, ils sont bufférisés ou inclus dans le planning des mises à jour logicielles conventionnelles. Dans tous les cas, l’administrateur dispose d’un compte-rendu pertinent du bon déroulement des opérations.

Global Security Mag : Pour conclure, quels sont vos conseils pour vos confrères et vos souhaits pour le futur ?

Bernard Foray : Il faut impliquer tous les acteurs des infrastructures et applicatifs car se passer de la mise en place de correctifs de sécurité n’est pas envisageable. En effet chacun sait que gérer une crise n’est pas une sinécure et que son impact financier et organisationnel peut être important. Il n’est pas besoin de faire un ROI sur la mise en place de ce type de procédure, car nous avons tous à plus ou moins grande échelle géré une alerte sur vulnérabilité avec un 0day et nous en mesurons bien les conséquences. Il est donc nécessaire de dédier du personnel pour le suivi des correctifs, et de mesurer le taux de couverture d’un correctif sur le parc informatique.

Quant à nos souhaits ils sont à destination des éditeurs de logiciels d’inventaires ou de télédistribution qui peuvent améliorer leurs outils de collecte et de reporting. En particulier, ils devraient rendre les tableaux de bord moins techniques et plus managériaux en introduisant des indicateurs de risque idoine et de risque résiduel.

Directeur de la sécurité des SI au sein du groupe Casino et précédemment RSSI chez Gemalto. Les 12 premières années de sa carrière se sont déroulées au sein des services méthodes et moyens logiciels de Thales. Pendant 6 ans en SSII il a effectué des missions de consultant senior dans le domaine des infrastructures techniques pour de grandes entreprises comme Airbus, Eurocopter ou la Marine Nationale.
Ces 12 dernières années il a pu mettre en œuvre une gouvernance de la sécurité en faisant le lien entre stratégie et opérationnel. Les postes de management qu’il a occupé lui ont donné une maîtrise transversale du SI. Il est conférencier depuis 2003, co-fondateur d’un groupe d’utilisateurs sécurité en région Provence Alpes Cote d’Azur (GrepSSI), certifié CISSP et auteur de l’ouvrage « La fonction RSSI - Guide des pratiques et retours d’expérience ». Ce livre a reçu un prix spécial du jury (prix de l’initiative) dans le cadre des trophées CSO de la Sécurité.