Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Global Security Mag 2012 : de la Théorie à la Pratique

janvier 2013 par Emmanuelle Lamandé

Tout au long de l’année, des experts sélectionnés par l’équipe rédactionnelle de Global Security Mag vous prodiguent leurs conseils en matière de SSI. Afin d’y apporter une touche un peu plus pragmatique, notre magazine invite ses lecteurs à passer « de la Théorie à la Pratique » lors de séminaires thématiques dédiés. Pour cette seconde édition au Musée du Vin de Paris, 4 grands thèmes, abordés dans nos colonnes en 2012, étaient au centre des débats : la fuite d’information, le BYOD, la sécurité du Wi-Fi et les nouvelles menaces pour 2013.

Fuite d’information : quelle solution ?

La fuite d’information est devenue un problème crucial pour les entreprises, d’autant qu’il est très facile pour un pirate informatique de s’introduire dans un Système d’Information afin de subtiliser des données. De plus, les législations en la matière sont en pleine évolution, surtout depuis l’ordonnance du 24 août 2011, qui est suffisamment floue pour concerner tout détenteur de données à caractère personnel, sans parler du futur règlement européen qui ne va pas arranger les choses... Dans le numéro 18 de GS Mag, nous avions mis en exergue la bête noire à laquelle se heurtent tout projet de DLP, à savoir la classification des données sensibles… sans compter les limites des solutions de DLP et la complexité de leur mise en œuvre… D’ailleurs, certains RSSI et experts leur préfèrent d’autres solutions pour réduire, voire éliminer, ces risques. C’est le cas de la société SafeNet.

Plus de 60% des entreprises prévoient, selon Gartner, d’évoluer dans les 18 prochains mois vers une forme quelconque de Cloud, explique Jean-Philippe Rantin, Responsable Technique et Expert Cloud chez SafeNet. Pourtant, la croissance rapide des Data Centers virtualisés et des déploiements dans le Cloud fait apparaître en parallèle de nouvelles failles de sécurité. Le Cloud et la virtualisation simplifient encore davantage le travail des pirates et l’accès aux données sensibles, qui ne sont que plus vulnérables. Nous sommes d’ailleurs entrés dans l’ère du « virtual hacking ».

Un bon hacker pourrait pénétrer un environnement VMware vCenter en 60 secondes. Mais ce cas est loin d’être isolé. Nombreuses sont les plateformes vulnérables, et pourtant massivement utilisées. On retrouve ainsi dans la liste des sociétés comme Dropbox, SkyDrive, Google docs, mais aussi Amazon.

Il est donc plus que jamais essentiel pour les clients d’examiner et de mettre en œuvre de nouveaux contrôles de protection des données. Pour SafeNet, il existe deux fondamentaux de la sécurité dans le Cloud et qui répondent par là même à la problématique de fuite d’information : le chiffrement et l’authentification forte. Ces deux mesures sont d’ailleurs prônées par la Cloud Security Alliance, dont SafeNet fait partie.

En réponse aux besoins de sécurité dans le Cloud, SafeNet propose une offre globale, SafeNet Trusted Cloud Fabric, qui permet notamment le contrôle et la visibilité des utilisateurs, des données, des applications et des systèmes lorsque vous migrez vers un environnement virtualisé. Elle offre également une preuve de la sécurité et de la conformité des stratégies de confiance développées par l’entreprise pour le déploiement dans le Cloud.

Cette offre s’articule autour de différentes briques qui répondent aux divers objectifs des entreprises : - l’Authentification forte pour sécuriser l’accès au SaaS ;
- sécuriser les machines virtuelles avec SafeNet ProtectV™Instance ;
- SafeNet ProtectV™Volume afin de sécuriser le stockage virtuel ;
- SafeNet DataSecure® et ProtectApp pour ce qui est des applications Cloud ;
- Sécuriser les identités & transactions basées sur le Cloud grâce à SafeNet HSM ;
- Ou encore SafeNet HSE pour sécuriser les Communications basées sur le Cloud.

Pour conclure, il a rappelé qu’aucun réseau n’est infaillible et qu’aucune entreprise n’est donc à l’abri du vol ou de la fuite d’information. L’important est de savoir que même si les données sortent de l’entreprise, à partir du moment où elles seront chiffrées, elles ne seront pas exploitables.

BYOD : une problématique avant tout RH

Les RSSI se sont en quelque sorte résignés à devoir gérer les nouveaux risques engendrés par le BYOD (Bring Your Own device), du fait de l’impossibilité d’endiguer cette déferlante. Les VIP, la « génération Y » et même les seniors sont aujourd’hui séduits par ces outils de communication toujours plus « gadgétisés », qu’ils souhaitent aussi désormais utiliser en entreprise. Dans notre numéro 19 de GS Mag, nos experts avaient prodigué leurs conseils pour accompagner et sécuriser ces devices, avec entre autres : une révision de la politique de sécurité et de la charte informatique, une containerisation des données professionnelles, un encadrement juridique strict, etc.

Adjungo est un intégrateur spécialisé dans le domaine de la mobilité. Depuis 2011, la société a mené à bien une dizaine de projets de BYOD en entreprise et dispose donc de plusieurs retours d’expérience. Cédric Girardclos, Président chez Adjungo, tient à préciser, dans un premier temps, que le BYOD, n’est pas une technologie. Beaucoup de gens font souvent l’amalgame. Un projet de BYOD ne représente pas une problématique technique en soi. D’ailleurs, quand certaines entreprises viennent vous parler de BYOD et qu’elles commencent par aborder les aspects techniques, c’est certainement qu’elles n’ont pas mené beaucoup de projets dans le domaine. Il rappelle également que le sur-mesure est l’unique solution, car chaque entreprise est différente. C’est un sujet qui doit, en conséquent, être repensé pour chaque entreprise.

Pour lui, la règle d’or concernant le BYOD est de « segmenter », en se posant les bonnes questions : quelles sont les différentes populations concernées ? Qui a accès à quoi ? Qui a déjà des mobiles ? Etc. Les enjeux sont très différents selon la population concernée, il faut donc adapter sa politique en fonction. La segmentation permet aussi d’avancer étape par étape dans le projet.

Le BYOD est avant tout une problématique inhérente aux Ressources Humaines, qui nécessite de redéfinir la politique RH. La « fusion » des sphères personnelle et professionnelle oblige l’entreprise à repenser certaines questions, comme celles liées au respect de la vie privée des collaborateurs. Le BYOD suppose, dans un second temps, de spécifier les bons cadres juridiques. La Loi est très stricte concernant le Code du travail et les droits des salariés, le respect de la vie privée, le traitement des données à caractère personnel… Il convient donc de bien définir le cadre juridique et les responsabilités de chacun dans un tel contexte.

Une fois que le programme est déterminé, il faut ensuite gérer le quotidien, explique-t-il. Tout projet de BYOD s’articule, en effet, autour de deux phases : la transformation de l’entreprise, puis peu à peu elle trouve son rythme de croisière. Faire du BYOD représente, effectivement, une transformation de la façon dont l’entreprise gère l’IT sur le long terme. Le succès repose, pour lui, sur le fait d’y aller étape par étape, et avec méthode. Un certain nombre d’acteurs doivent être impliqués dans ce projet, et de nombreuses validations sont à effectuer auprès de différentes instances (CE, CHSCT…). Enfin, sur chaque projet de mobilité, le problème est aussi, et surtout, de trouver le juste équilibre entre sécurité et expérience utilisateur.

S’opposer fermement au BYOD aujourd’hui n’est pas la solution, conclut Cédric Girardclos, car cela risque de pousser les utilisateurs à adopter des comportements déviants, et donc encore plus dangereux pour l’entreprise.

Wi-Fi vs Sécurité ?

Nos experts ont montré que depuis plus de 20 que le Wi-Fi est apparu, des problèmes de sécurité ont toujours suivi le déploiement des bornes. Dans le passé, la faiblesse des Clés WEP, puis WPA, était pointée, aujourd’hui, la sécurité des clés WPA2 pourrait être remise en cause… Sans compter qu’avec les nouveaux usages amenés par des outils toujours plus performants, les problèmes commencent à se multiplier pour les RSSI. Nos experts ont, entre autres, mis en avant les problèmes des bornes pirates, les connexions de devices non autorisés dues à la mode du BYOD…

Avec l’avènement de la mobilité, le réseau Wi-Fi doit, en effet, pouvoir répondre aux mêmes exigences que le réseau filaire. Pourtant, les menaces sont encore nombreuses. Pour Olivier Frelastre, Interdata, les principaux dangers quand on parle de Wi-Fi sont souvent liés à l’utilisation de clés partagées et de méthodes de chiffrement faibles, à l’installation de points d’accès Wi-Fi sauvages dans l’entreprise, à la connexion des utilisateurs à des hotspots pirates ou faiblement sécurisés, mais aussi de périphériques non gérés par l’entreprise…

Avant tout déploiement de bornes Wi-Fi en entreprise, il est important de bien définir, dans un premier temps, le périmètre, explique-t-il. Il s’agit donc de déterminer les zones qui devront être couvertes par le Wi-Fi, pour quel(s) usage(s), les utilisateurs et périphériques qui pourront accéder au Wi-Fi, etc. Ensuite, il est essentiel de réaliser une étude de site. Celle-ci peut être réelle ou modélisée grâce à un logiciel, même si dans la mesure du possible l’étude réelle reste à privilégier. L’objectif est ici de pouvoir déterminer le nombre et l’emplacement des points d’accès, détecter les sources d’interférence, ou encore déterminer les canaux et les puissances d’émission.

Parmi les différents conseils, Olivier Frelastre recommande notamment de :
- Compartimenter votre réseau Wi-Fi (VLAN, administrateurs, bornes, utilisateurs, invités…) ;
- Utiliser une authentification forte 802.1x ;
- Utiliser un chiffrement fort (WPA2 - CCMP) ;
- Définir des plages horaires d’utilisation ;
- Privilégier l’utilisation du 802.11a (5GHz) ;
- Interdire l’utilisation des « data rates » trop faibles ;
- Masquer les SSIDs de l’entreprise ;
- Privilégier les protocoles de communications sécurisées (IPSEC, SSL…) ;
- Enfin, superviser et évaluer la sécurité de votre réseau Wi-Fi de manière régulière.

Interdata est un intégrateur, partenaire certifié au plus haut niveau chez Juniper Networks, explique Gwenael Dubois, Interdata. L’entreprise apporte son expertise sur le déploiement et la sécurisation des solutions Wi-Fi depuis 2003. En la matière, Juniper Networks propose différentes solutions, telles que Junos Pulse, UAC Profiler, Ringmaster, ou encore SmartPass…

Malwares : ce qui vous attend en 2013…

Nos experts avaient prévu que 2012 serait une année « harassante » pour les RSSI ! D’ailleurs, le bilan de cette année montre que les attaques se sont multipliées sur les mobiles, les réseaux, les applications… Les attaques ciblées ont également occupé le devant de la scène l’an passé… sans compter les DDoS qui sont notamment chéris par les Hacktivistes… Au final, les pirates ont encore fait feu de tout bois… Seul point relativement positif : la baisse relative du spam, mais jusqu’à quand ? Il semble d’ores et déjà pour nos experts que l’année 2013 devrait s’avérer aussi chargée pour les équipes sécurité...

Les évolutions techniques développées en 2012, telles le BYOD ou le Cloud Computing, ont notamment accentué les menaces visant les systèmes d’information (fuites d’informations, usurpation d’identité, etc.), constate Mathieu Estrade, Responsable technique de Bee Ware. Parmi les attaques les plus marquantes de l’année 2012, il note principalement les attaques ciblant les navigateurs Web et SSL, les DDoS, l’hacktivisme, le tunneling, ou encore le add-on hijacking. Smartphones et tablettes sont aujourd’hui partout, avec des données personnelles et professionnelles qui s’entremêlent de plus en plus. Toutefois, les systèmes iOS et Android utilisés sur ce type de devices sont complètement opaques pour l’utilisateur. Ce dernier n’a d’ailleurs quasiment aucun champ d’action sur l’OS. Les antivirus sont, quant à eux, inadaptés. Sans compter que les périphériques mobiles sont de gros utilisateurs de données qu’ils stockent, envoient et reçoivent. Les plateformes mobiles, et le BYOD, devraient continuer d’être des vecteurs d’attaques privilégiés en 2013. Le Cloud Computing se développe, quant à lui, autour d’APIs, et reste une cible privilégiée pour accéder aux données sensibles.

Les APIs font aujourd’hui voler le périmètre de l’entreprise. Elles sont dorénavant partout (périphériques mobiles, navigateurs embarqués, applications HTML5…), et par là même vos données aussi. Les APIs sont généralement des interfaces directes avec le SI. Pourtant, elles sont relativement vulnérables. Elles utilisent des formats d’échange de données, tels que JSON et XML, sont souvent peu protégées par du filtrage applicatif, et généralement basées sur le protocole http. Elles subissent donc le même type d’attaques que les applications Web…

Parmi le « Top 5 » des attaques qu’il prévoit pour 2013, on retrouve :
- Les attaques sur les navigateurs et HTML5 ;
- Les abus de fonctionnalités des APIs ;
- Les malwares sur les plateformes mobiles ;
- Le vol de données sensibles dans le Cloud ;
- Enfin, le phishing et le vol de données bancaires.




Voir les articles précédents

    

Voir les articles suivants