“ Externaliser son informatique dans des data centers pose des problèmes de sécurité ”

Gilbert Kallenborn

01net.

le 03/07/2008 à 15h20

4 réactions

envoyer
par mail

imprimer
l'article

01net. : Vous venez de prendre la direction du laboratoire de virologie et cryptologie opérationnelles à l'ESIEA (École supérieure d'informatique, électronique et automatique). Quel est le but de ce laboratoire ?

Eric Filiol : Ouvert officiellement depuis le 1er juillet, ce laboratoire est l'héritier du laboratoire de virologie et cryptologie de l'École supérieure et d'application des transmissions (ESAT), une école militaire du ministère de la Défense. Nous restons dans la continuité et focalisons toujours nos recherches sur des solutions opérationnelles – c'est-à-dire applicables – dans les domaines des virus et du chiffrement. Dans la cryptologie, par exemple, nous n'allons pas développer des moyens théoriques pour briser un chiffrement. Notre objectif sera de le faire réellement.

Depuis la publication du Livre blanc sur la Défense et la Sécurité nationale, on parle beaucoup de cyberguerre et de cyberterrorisme. Que pensez-vous des propositions de cet ouvrage ?

Il n'y a aucun doute qu'il faille développer une capacité de lutte informatique. Mais le Livre blanc reste assez flou sur ses moyens et son implémentation. Je reste assez sceptique. Transformée en agence gouvernementale chargée de la sécurité des systèmes d'information, l'actuel SGDN (Secrétariat de la Défense nationale) gagnerait en ampleur et en autonomie, mais je crains que l'on reconduise les erreurs du passé, à savoir les guerres de chapelles entre services. Il serait mieux de confier cette mission directement aux militaires, qui ont le savoir-faire opérationnel et le souci du résultat. Comme c'est le cas aux États-Unis par exemple.

Par ailleurs, je constate que la France souhaite revenir dans le giron de l'Otan, mais elle ne souhaite pas participer à son agence de cyberdéfense, qui a été créée, il y a un an à Tallinn, en Estonie. Ce centre est la première initiative sérieuse dans le domaine de la sécurité informatique militaire, et nous décidons de n'y envoyer personne. Ce n'est pas cohérent.

Comment les entreprises peuvent-elles se protéger contre les attaques informatiques ?

Un principe de base est de séparer les réseaux internes et externes. Il y a actuellement une tendance à tout interconnecter et regrouper dans des data centers. Cela va à l'encontre de la sécurité.

Certes, les services externalisés ont l'avantage d'être ergonomiques et économes, mais ils sont aussi très dangereux, car plus vulnérables. Si les services informatiques des entreprises se retrouvent un jour tous regroupés dans une dizaine de data centers sur le territoire, cela va simplifier le travail des terroristes informatiques.

Expliquez nous les mécanismes de “ l'ingénierie sociale ? ”

L'ingénierie sociale consiste à dresser un profil technique et organisationnel de la cible en collectant des informations dans des milieux ouverts : un salon professionnel, un café, Internet, etc. Les réseaux sociaux tel que Facebook sont particulièrement dangereux. Les utilisateurs pensent qu'ils ne publient que des petites informations anodines. Mais le regroupement de toutes ces informations donne une image beaucoup plus complète sur l'entreprise.

Les SSII sont, d'ailleurs, des cibles particulièrement intéressantes pour l'ingénierie sociale, car elles développent des logiciels et sont en contact avec beaucoup de sociétés clientes.

Faut-il interdire l'accès à Facebook et consorts ?

Idéalement oui. Il faut, en tout cas, prévenir les collaborateurs sur les dangers que représentent ces réseaux sociaux. Il faudrait également leur interdire de faire mention des activités de l'entreprise sur ce type de sites.

A quel nouveau fléau du Web les entreprises doivent-elles se préparer ?

Parmi les menaces qui risquent de s'intensifier figure l'extorsion. Grâce à des virus, les pirates informatiques arrivent à voler ou chiffrer les données sur les disques durs. L'entreprise ne récupère les données qu'après avoir payé une certaine somme. Mais dans le fond, Internet n'invente rien. Le Web n'est que le prolongement de la vie réelle, avec des modes opératoires toujours pareils : vol, sabotage, destruction, espionnage, etc. Seuls les moyens techniques changent.