En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...

Retour sur la Matinée 01 Sécurité

Cloud, mobilité, BYOD … les tendances informatiques chahutent la sécurité du SI. Un point avec experts et RSSI est donc salutaire pour rappeler des fondamentaux et expliquer les nouvelles menaces. Un amphithéâtre rempli le 3 avril dernier pour cette Matinée 01 illustre tout l’intérêt des DSI et RSSI.

laisser un avis
3 questions à Léonard Dahan
Sécurité : jusqu’ici tout va bien…
 
Cloud, mobilité, BYOD … les tendances informatiques chahutent la  sécurité du SI. Un point avec experts et RSSI est donc salutaire pour rappeler des fondamentaux et expliquer les nouvelles menaces. Un amphithéâtre rempli le 3 avril dernier pour cette Matinée 01 illustre tout l’intérêt des DSI et RSSI.
 
L’intervention d’un juriste s’impose pour aborder une matinée sur la sécurité. Maître Olivier Iteanu, avocat à la Cour, a mis en lumière plusieurs contraintes juridiques pour les entreprises, en soulignant que « l’entreprise se retrouve entre le marteau et l’enclume. D’un côté, elle doit adapter son système d’information, intégrer le nomadisme, et gérer des données externalisées (cloud, réseau social). De l’autre, elle doit se prémunir des risques multiples (respect de l’intimité de la vie privée des collaborateurs, respect des dispositions de la Loi informatique et libertés) et rester vigilante au droit de la preuve. »
Revenant sur un sujet très en vogue, Me Oliver Iteanu s’est montré très clair. « L’USA Partriot Act confère au directeur du FBI ou à ses délégués de solliciter d’un juge l’autorisation de demander l’accès à…. tout ! De plus, l’autorisation ne fournit pas l’objet de l’enquête et s’impose à tout détenteur des informations recherchées, qui ne doit rien divulguer sur cette sollicitation… Bref, réfléchissez à deux fois avant de confier vos données à des prestataires qui les hébergeraient sur un territoire relevant du droit américain. » À bon entendeur…
 
Quelques mesures incontournables.
Mettre en place une politique de sécurité des systèmes d'information (PSSI) devient parfois un vœu pieux sur le terrain. Les intervenants ont mis en avant quelques retours d’expérience instructifs.
« Une PSSI ou une règle de sécurité qui n'est pas formalisée par écrit n'existe pas. Cela oblige à poser les choses et engage les intéressés, » assure Fabrice Pizzi, RSSI chez Eiffage.
Et Philippe Rondel, directeur technique France chez Check Point Software, ajoute même : « Les technologies de sécurité ne représentent qu’un moyen de déployer une politique de sécurité, et non une solution à elles seules. Et ce, quelles que soient les qualités des produits. »
Après des années de pratiques, Fabrice Pizzi pense qu’« une PSSI  ou une règle de sécurité doivent faire l’objet d’un audit régulier : organisationnel, intrusif, de code, d'architecture, des comptes utilisateurs et des habilitations... Et d’autant plus si le périmètre du SI évolue. » Laurent Boutet, expert avant-vente, chez Stonesoft renchérit « Des audits de type "attaques déguisées" permettent d’améliorer la sécurité du SI. La capacité anti-contournement dépend de l’efficacité d’un système à normaliser un trafic sur toutes les couches. Toute analyse protocolaire est normalisée afin de pouvoir détecter les attaques par une signature. »
« Même si cela n’est pas populaire, la PSSI nécessite des règles de sécurité contraignantes avec des moyens techniques ou organisationnels afin de répondre aux besoins des utilisateurs : VPN SSL/IPSEC pour la TMA ou les accès distants des utilisateurs, WIFI sécurisé, chiffrement des données pour les personnes en déplacement... » énumère Fabrice Pizzi, qui poursuit « Rédiger une charte en espérant qu’elle sera lue et comprise par tous est illusoire. Il faut rencontrer les utilisateurs et échanger avec eux, régulièrement. C’est pourquoi la sécurité s’inscrit dans un schéma directeur intégrant une conduite du changement formel avec un budget défini. »
 
 
Attention aux risques invisibles
 « Quels que soient les outils de sécurité utilisés par l’entreprise, un risque majeur demeure : le contournement des dispositifs de sécurité par une AET (Advanced Evasion Techniques). L’entreprise doit évaluer sans attendre ses infrastructures face à ces techniques. En effet, un cybercriminel peut placer du code du code malicieux dans le réseau de l’entreprise et récupérer des informations sans être détecté, » prévient Léonard Dahan, directeur général France et Benelux chez Stonesoft.
Un type d’attaque sournois de plus en plus répandu, et auquel sont rarement sensibilisées les DSI. « Aujourd’hui, les sociétés réagissent souvent en mode « réactif » face aux incidents de sécurité et rares sont celles qui possèdent un système d’information assez mûr sur ce point, » explique Fabrice Pizzi.
Laurent Boutet a éclairé l’assistance de précieuses explications techniques : « Les techniques de contournement ou AET permettent de contourner les solutions les plus évoluées de sécurité réseau sans laisser ni traces ni alertes sur les systèmes d’administration. Ces combinaisons de techniques opèrent simultanément sur de multiples couches de protocole et peuvent évoluer pendant une attaque. Les données critiques perdent leur protection, peu importe l’efficacité de détection de l’équipement de sécurité. Et l’entreprise devient aveugle si l’équipement échoue sur son traitement anti-évasion. Cette fausse impression de protection crée des cibles faciles et augmente le taux de réussite des attaques réseau. » Peu rassurant !
 
Cloud, mobilité et réseaux sociaux : oui, mais…
Les projets cloud se multiplient, et l’aspect sécuritaire doit intervenir au plus tôt. « Pour le SAAS, une analyse des risques prenant en compte le niveau de sensibilité des données doit guider la décision du responsable métier. Idéalement le RSSI doit participer à la rédaction du contrat pour intégrer les mesures de sécurité qui seront déléguées au fournisseur. Dans la pratique, il est pourtant difficile, voire impossible, d'imposer contractuellement le contrôle de l'efficacité de ces mesures... » regrette Christophe Jolivet, RSSI chez Eutelsat. Et Philippe Rondel complète : « Sur l’IaaS, si l’entreprise est en mesure de définir le cloisonnement et l’étanchéité de sa solution, elle peut obtenir un niveau de sécurité au moins équivalent à celui de son SI. Pour le SaaS, elle se repose sur la sécurité déployée par le fournisseur. Elle peut exiger un audit, et éventuellement souscrire à des options renforcées. »
Pour les réseaux sociaux, sensibilisation et accompagnement restent les plus efficaces, selon Christophe Jolivet :  « Sur les réseaux sociaux, la communication de données apparemment insignifiantes peut (par recoupements) se révéler très intéressante pour des pirates. La sensibilisation des employés sur les possibilités d'actions malveillantes (usurpation d'identité, divulgation d'information, propagation de malwares...) est fondamentale : l'accompagnement plutôt que l'interdiction ou les blocages illusoires ! »
Et Philippe Rondel ferme cette table ronde en affirmant : « Outre le chiffrement des données, l’entreprise doit aussi s’assurer de la réelle identité de l’utilisateur derrière le terminal, à tout moment. Mieux encore la DSI devrait isoler les données d’entreprise sur les smartphones afin qu’elles ne résident pas en permanence sur le terminal. »
 
Le mot de la fin revient à Fabrice Pizzi, RSSI chez Eiffage, qui tient à souligner : « La sécurité n’est pas uniquement l’affaire du RSSI, mais de l’ensemble d’une chaine présente et active à tous les niveaux de fonctionnement du SI. Le RSSI joue son rôle de chef d’orchestre pour que la sécurité de l’entreprise reste en harmonie avec la gestion des risques et les besoins de ses activités. »
envoyer
par mail
imprimer
l'article


@01Business_fr sur
à lire aussi
SUR LES MÊMES THÈMES
Très haut débit : Berlin vise 100% de couverture en 2018
La lettre des abonnés 01Business
La lettre des abonnés 01Business
La lettre des abonnés 01Business
La lettre des abonnés 01Business
La lettre des abonnés 01Business
La lettre des abonnés 01Business
La lettre des abonnés 01Business
La lettre des abonnés 01Business
La lettre des abonnés 01Business
La lettre des abonnés 01Business
La lettre des abonnés 01Business du 29 novembre 2013
La lettre des abonnés 01Business du 28 novembre 2013
La lettre des abonnés 01Business du 27 novembre 2013
La lettre des abonnés 01Business du 26 novembre 2013
La lettre des abonnés 01Business
La lettre des abonnés 01Business
La lettre des abonnés 01Business
La lettre des abonnés 01Business
La lettre des abonnés 01Business