Le réseau, cette autoroute que l’on emprunte gratuitement

La grande majorité des entreprises a patiemment sécurisé et optimisé ce que l’on appelle communément le périmètre avec la mise en place des firewalls en haute disponibilité, le croisement d’au moins deux technologies d’anti-virus, le déploiement d’un anti-spam et d’un anti-spyware, l’installation d’un relais de mail et d’un relais web, l’application de règles de sécurité respectant la politique définie.
Très bien, mais que se passe-t-il sur le réseau local, pourquoi et qui fait quoi ? Toutes ces belles dispositions ne nous donnent pas de réponse et pourtant, inspecter les flux est devenu une nécessité.

Le réseau est une immense autoroute que les nouvelles technologies peuvent nous permettre d’emprunter gratuitement et, sur laquelle nous pouvons commettre des infractions du fait de l’absence de représentants des forces de l’ordre. Pour certains usagers, cela peut même rapporter de l’argent.

Nos outils communiquent même si nous ne l’avons pas décidé. Le Wifi, le Bluetooth, les connexions Internet dans les hôtels et les aéroports, les adresses IP, les mails et leurs destinataires… Tout trahit. Nous organisons nous-même la fuite de nos propres informations.

Fuite d’information via un collaborateur, pénétration du réseau via un outil informatique, interception de flux de données, rerouting de flux, copie parallèle de flux…Pour éviter cela, il est nécessaire de savoir ce qui se passe sur son réseau, déterminer les causes de situations anormales et renforcer le niveau de sécurité. Il est utile d’affiner les règles, non seulement en fonction de la typologie des utilisateurs internes et externes, mais également en fonction de la typologie des données, de leur mode de transport et de stockage. De manière générale, il est indispensable de gérer et d’administrer l’intégrité de son réseau.

Renforcement de la sécurité au niveau du réseau

Les principaux facteurs du renforcement de la sécurité au niveau du réseau local sont incontestablement :

– Les connexions au réseau par des prestataires externes.
La confiance ne suffit plus tant les tentations sont grandes. Les connections des prestataires externes ne s’imaginent plus autrement qu’en identifiant, en restreignant voire en interdisant toute démarche autre que celle fixée par l’entreprise. Identifier, tracer, et limiter les connexions à un périmètre contractuel, voilà une démarche collaborative performante. Une fois de plus, c’est l’entreprise qui pourra voir sa responsabilité engagée en cas de litige devant les tribunaux, y compris en considération d’une négligence née de l’absence de règles écrites et transmises aux intéressés.

– La mise en conformité.
Hors les activités réglementées qui ne souffrent d’aucune discussion, hors les dispositions relatives au Droit du Travail, au Code Civil, au Code Pénal, et plus précisément tout ce qui touche aux Droit des Personnes, de nombreuses entreprises se voient contraintes par des dispositions légales supplémentaires telles Sarbanes-Oxley ou Bâle II. Le réseau est stratégique : traçabilité, stockage et historisation des connexions ne peuvent en aucun cas être négligés.

– La mise aux normes :
Il existe des entreprises qui ont fait le choix de se conformer à des normes dites de qualité. Argument commercial face à la concurrence, volonté affichée d’augmenter sa notoriété, et de renforcer son image de marque, ou tout simplement décision de politique générale de l’entreprise. L’inscription d’une entreprise à une démarche de respect d’une norme telle la 17799, implique la prise en compte du réseau dans la mise en œuvre.

Solutions NAC : le passage d’un cap

NAC ou Network Access Control. Cette abréviation offre une palette de possibilités réellement performantes pour la gestion et l’administration de l’intégrité du réseau et sa sécurité.

La mise en œuvre d’une solution globale NAC est passionnante. Non seulement parce qu’elle implique le respect impératif de l’existant, parce qu’elle nous oblige à chercher l’optimisation de l’existant et à en améliorer les performances, mais également parce qu’elle s’inscrit dans un cadre de plus en plus réglementaire.

Lorsque certaines entreprises demandent d’intégrer plusieurs solutions NAC, et qu’elles doivent être couplées avec les autres éléments de son architecture, l’étude et la mise en œuvre prennent toute leur valeur. C’est la combinaison de la protection du périmètre à celle du réseau qui est riche de sens.

Certains éditeurs démontrent, au travers de leurs solutions, qu’ils ont réellement pris en compte les besoins des entreprises. Des solutions comme celles de Consentry Networks se positionnent même en tant que substituts à des solutions de protection du périmètre. Culturellement, c’est un choc. Tant et si bien qu’il ne faut plus se contenter d’annoncer la sortie d’une nouvelle solution mais proposer des maquettages, des tests…

Les entreprises avancent petit à petit pour découvrir ce qu’offrent ces solutions NAC. Techniquement et culturellement, nous avons passé un véritable cap.

Un niveau d’exigence jamais atteint en termes de gestion du risque

Il est aujourd’hui nécessaire de répondre non seulement aux exigences des entreprises, mais également à celles des DSI, RSSI, Administrateurs Réseaux et Systèmes, Directeurs d’exploitation qui se voient affublés du titre non honorifique de responsable pénal, qui se développe au gré des contrats de travail via une démarche d’acceptation du transfert du risque, reconnue par les tribunaux.

Performance, évolutivité, surveillance, prévention, et, respect des dispositions légales ainsi que protection des richesses de l’entreprise et des mandataires sociaux, nos clients expriment le besoin de :
– Affiner les règles de sécurité en fonction des évènements factuels constatés
– Piloter leur réseau, en prenant en compte les habitudes de connexion, les téléchargements indésirables, les transferts, les copies, les impressions de fichier indésirables.
– Déterminer l’origine, la destination, la nature et le type de risques spécifiques auxquels l’entreprise et son et le responsable sont confrontés
– Customiser, stocker et historiser pour démontrer et prouver
– Prévenir et empêcher la récurrence d’un risque

Et le tout, de manière optimisée !

La culture de la gestion et de la prévention du risque et de la protection de l’entreprise et de ses collaborateurs vient de plus en plus s’imbriquer nativement dans les solutions.
A l’exemple des éditeurs Consentry et Arbor Networks ou à l’exemple de Clearswift qui a opéré une véritable démarche de prise en compte des aspects juridiques et légaux liés à la protection des informations, bien souvent plus stratégiques qu’on ne l’imagine.

« Je t’ai vu, je t’ai identifié et reconnu et je sais ce que tu as fait dans le réseau, quel jour tu l’as fait et à quelle heure ». Avec ces solutions, nous pouvons désormais nous offrir le luxe d’ajouter : « Dorénavant, tu seras autorisé…, tel jour, à telle heure, pour telle activité, et tu t’authentifieras selon telle procédure, mais tu ne pourras pas télécharger tel fichier soumis à des restrictions d’accès… »

Des outils d’administration et d’aide à la décision

Les exigences des entreprises ne s’arrêtent pourtant pas là. Les solutions nécessitent d’être administrées rapidement, sans altérer les performances et la productivité, et sans imaginer imposer par relation de cause à effet, une consommation en ressources humaines supérieure.

Voilà donc des contraintes supplémentaires, qui s’ajoutent à celles évoquées précédemment. Elles impliquent nécessairement la fameuse console d’administration centralisée, à laquelle il sera nécessaire d’ajouter la possibilité d’avoir des rapports lisibles à 3 niveaux : Administrateurs, DSI, Direction générale. Il est en effet difficile d’évoquer la possibilité de gérer les aspects juridiques, légaux et contractuels, lorsque les solutions techniques n’offrent pas une possibilité de lecture permettant d’agir et de réagir.

Ces solutions doivent constituer un outil d’aide à la décision, fondée sur le principe de la « preuve écrite ».

La nature et la charge de la preuve

Avoir des preuves reste du domaine de la perception personnelle. Il appartient aux représentants de la Justice de décider si un rapport peut constituer une preuve recevable. Fournir plusieurs rapports prouvant la répétition d’une même action réalisée par un même individu ne suffit pas toujours mais, vous augmentez ainsi vos chances qu’elle soit considérée comme étant recevable.

Ne nous trompons pas non plus ; l’inexistence d’une politique de sécurité assortie de l’inexistence d’une charte d’utilisation des moyens informatiques, ou la non-adjonction d’un certain nombre de clauses au contrat de travail de collaborateurs jugé sensible peut se retourner contre la société, en tant que personne morale.

Devons-nous encore préciser que toute solution de contrôle et de surveillance de l’activité des collaborateurs doit être déclarée à la CNIL ? Dans le cas contraire, et au cas où une entreprise souhaiterait utiliser les preuves émanant d’une solution réseau, la CNIL en « nierait » son existence, et la démarche serait jugée irrecevable, y compris pour le motif que des informations confidentielles et stratégiques ont été aspirées à mauvais escient par un collaborateur.