Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Bernard Ourghanlian, Microsoft : « Rights Management Service », un élément de réponse face aux menaces de type APT

septembre 2013 par Emmanuelle Lamandé

Microsoft présentera, à l’occasion des Assises de la Sécurité, la nouvelle version du « Rights Management Service ». Ce nouveau service RMS protège désormais n’importe quel type de fichier et permet aux utilisateurs d’y accéder sur les terminaux les plus répandus, mais aussi d’activer le partage avec d’autres organisations. Pour Bernard Ourghanlian, Directeur Technique et Sécurité de Microsoft France, RMS est un élément de réponse face aux menaces de type APT et permet aux entreprises de se concentrer uniquement sur les « joyaux de la couronne ».

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Bernard Ourghanlian : Les Assises de la Sécurité 2013 seront l’occasion de revenir sur l’importance de la protection du patrimoine immatériel de l’entreprise. A cette occasion, nous allons présenter la nouvelle version du « Rights Management Service » de Microsoft (RMS), qui permet l’utilisation de données protégées sur tous les terminaux ; n’importe quel type de fichier peut ainsi être utilisé par toute personne dûment autorisée dans le cadre d’une collaboration donnée. Ce nouveau service RMS protège en effet désormais n’importe quel type de fichier (et pas seulement les documents Microsoft Office comme la version précédente) ; il permet aux utilisateurs d’y accéder sur les terminaux les plus répandus (téléphones ou tablettes sous iOS ou Android, Mac sous Mac OS X… et pas seulement des PC ou des tablettes Windows ou encore des téléphones Windows Phone) et d’activer le partage avec d’autres organisations (et pas seulement au sein de l’organisation d’un seul client – cas de l’entreprise étendue notamment).

Le nouveau Microsoft RMS - mis en œuvre comme un service Windows Azure et qu’il ne faut pas confondre avec Windows Server AD Rights Management Services (ADRMS) - comprend un ensemble d’applications RMS qui fonctionnent sur tous les terminaux courants, un ensemble de kits de développement logiciel ainsi que des outils connexes. En s’appuyant sur Windows Azure Active Directory, le service RMS agit comme un concentrateur de confiance pour la collaboration sécurisée où une organisation peut facilement partager des informations en toute sécurité avec d’autres organisations sans configuration ou installation additionnelle. Les autres organisations peuvent être des clients RMS existants ou non. Dans ce dernier cas, les utilisateurs de ces autres organisations peuvent simplement utiliser une capacité gratuite de l’offre : « RMS pour les particuliers ». Point important dans le contexte actuel : en aucun cas les données à protéger ne transitent dans le nuage dans le service RMS.

Les fonctionnalités de ce nouveau service RMS sont les suivantes :

• Pour les utilisateurs :
o Je peux protéger n’importe quel type de fichier
o Je peux consommer les fichiers protégés sur les terminaux qui sont importants pour moi
o Je peux partager ces fichiers avec toutes les personnes avec lesquelles je désire les partager
- Initialement avec n’importe quel utilisateur en entreprise
- Dans le courant de l’année 2014 avec tout utilisateur disposant d’un Microsoft Account ou d’un Google ID

• Pour les professionnels de l’informatique
o Je peux garder mes données chez moi si je ne veux pas les déplacer dans le Cloud
o Je sais comment mes données protégées sont utilisées (journalisation en quasi-temps-réel)
o Je peux contrôler ma clé de chiffrement RMS, par exemple à travers l’utilisation d’un boîtier HSM

Si l’on en juge les incidents de sécurité très graves qui ont eu lieu dans de très grandes organisations en France et dans le monde et qui ont donné lieu à des mois, voire des années de vols de données, suite à la prise de contrôle du système d’information de ces entreprises par les attaquants, il est absolument essentiel de renforcer la protection du patrimoine informationnel de l’entreprise que l’on doit effectivement protéger comme les « joyaux de la couronne ». Tout particulièrement dans des perspectives d’utilisation de services Cloud ou de mise en œuvre du BYOD (Bring-Your-Own-Device). En sachant que le chiffrement des informations n’est pas suffisant, il faut mettre en place un système de gestion de droits numériques afin d’embarquer - en même temps que les données chiffrées - les règles d’utilisation de ces dernières. Autrement dit, lorsqu’on interdit – par exemple – à un destinataire de transférer de sa messagerie un contenu que l’on n’a pas autorisé à transférer ou à imprimer un contenu qu’on n’aura pas autorisé à imprimer, ce destinataire ne pourra pas le faire. Concrètement, il ne pourra faire avec ces données que ce qui aura été autorisé à faire en amont avant l’envoi, et rien d’autre. C’est la notion de gestion de droits. De telle façon, même dans un cadre où l’on met en œuvre un Cloud public ou une approche de type BYOD, on ne risquera pas la fuite intempestive de données, et donc l’accès à ces données par des personnes non autorisées, de quelque bord soient-elles, y compris des espions…

GS Mag : Quelles nouvelles menaces avez-vous identifié ?

Bernard Ourghanlian : Rien de vraiment nouveau. Simplement les attaques persistantes et ciblées (APT – Advanced Persistant Threats) continuent de faire des ravages et ceci, de façon continue depuis 4 ans, hélas.

GS Mag : Comment va évoluer votre offre en regard de ces menaces ?

Bernard Ourghanlian : L’arrivée de RMS, dont je parlais plus haut, est un élément de réponse extrêmement important par rapport à ces menaces de type APT. En effet, RMS permet de se concentrer sur les « joyaux de la couronne » de son entreprise. Ce qui nécessite d’avoir – auparavant – déterminé ce que sont ces joyaux de la couronne, autrement dit à l’entreprise d’avoir classifié ses données. Si les RSSI ont la responsabilité de définir le cadre, la méthodologie et les principes de classification générale des données, c’est de la responsabilité des métiers de faire la classification de leurs données car ils sont les seuls à savoir quelles sont les données vraiment importantes les concernant. En n’oubliant pas que les informations vraiment confidentielles ne concernent bien souvent que 10% du patrimoine informationnel de l’entreprise… L’idée n’est donc pas de protéger toute l’entreprise au même niveau en considérant que tout est confidentiel, et de tenter de préserver une ligne Maginot illusoire qui permettrait d’enfermer le système d’information dans un mur d’enceinte étanche. En effet, un système d’information qui est au service du business de l’entreprise est ouvert sur le monde, il ne peut donc pas être protégé par une muraille. Cela n’empêche pas toutefois, pour les informations vraiment confidentielles, de les « mettre au coffre » et de mettre tous les moyens nécessaires pour les protéger.

GS Mag : Quelle sera votre stratégie commerciale pour 2013/2014 ?

Bernard Ourghanlian : Sans rentrer dans tous les détails et en se focalisant uniquement sur RMS dont on parle ici, RMS sera gratuit pour tous les utilisateurs consommant des informations protégées, quel que soit leur terminal : Windows (PC, tablette…) Windows Phone, tablettes ou téléphones sous iOS ou Android, Mac. Il n’y a que la création d’une information protégée qui nécessitera une licence.

GS Mag : Quel est votre message aux RSSI ?

Bernard Ourghanlian : Cette nouvelle édition des Assises sera l’occasion d’une table ronde qui réunira notamment :
- Alain BOUILLE - Président du CESIN
- Franck VEYSSET - Chef de la division pilotage opérationnel du COSSI chez ANSSI
- Georges EPINETTE - Vice Pt CIGREF & DOSI du Groupement Les Mousquetaires
- Et moi-même.

Cette table ronde portera sur le thème suivant : « L’appel à la mobilisation de l’ANSSI a-t-il été entendu ? Bilan 2 ans après ». Vous vous souvenez sans doute que, le 7 octobre 2011, en clôture des Assises, Patrick Pailloux, le Directeur Général de l’ANSSI prononçait un discours percutant interpellant l’ensemble des DSI, DSSI, RSSI présents dans la salle en déclarant : « Ce que j’ai à vous dire aujourd’hui, c’est : cela ne peut pas continuer comme cela ! Les systèmes d’information en France, comme de par le monde, sont en danger et j’ai parfois l’impression que nous les avons abandonnés. »

Deux ans après, cette table ronde tentera de faire un bilan des actions qui ont été entreprises depuis et répondre aux questions suivantes :
- L’appel à la mobilisation de l’ANSSI a-t-il été entendu ?
- La sécurité reste-elle un « cache sexe » au sein des entreprises ?
- La situation de la sécurité des SI est-elle meilleure qu’il y a deux ans ?
- Les entreprises ont-elles repris le contrôle sur leur SI ?
- Faut-il réglementer davantage les obligations des entreprises en matière de sécurité des SI ?
- Y a-t-il des réponses aux enjeux de la sécurité du SI ?

J’invite tous les RSSI présents à participer largement à cette table ronde.




Voir les articles précédents

    

Voir les articles suivants