Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Club de la presse B to B : C’est au RSSI d’agir pour que chaque employé devienne un agent de la sécurité de l’entreprise

janvier 2016 par Marc Jacob

Pour la nouvelle édition des petits déjeuners du Club de la Presse B to B avait réuni un panel de consultants, d’intégrateurs et de RSSI autour du thème « Sécurité du système d’information : de la forteresse à l’aéroport. » Les vieilles méthodes de sécurité du système d’information ont fait leur temps, à la grande joie des hackers et cybercriminels. Il est temps de repenser la sécurité autrement. Comment s’y retrouver ? Microsegmentation, sécurisation des flux, approche Data Centric, droits d’accès, sécurisation des contenus, mobilité, Cloud, etc.

Mado Bourgoin, directrice technique chez VMware France a expliqué que dans le passé protection du Cloud, il y avait une certaine sécurité. Aujourd’hui, toutes les entreprises sont susceptibles d’être attaquées d’autant plus qu’elles évoluent dans un monde de plus en plus connecté. Nacira Salvan RSSI nouvellement nommé directeur de l’offre sécurité de PwC complète ce point de vue en rappelant que dans le passé on parlait de sécurité périmétrique. Pour ce faire les outils de prédilections étaient le firewall et le VPN. Elle rappelle qu’il y a une quinzaine d’années où elle était RSSI quand de SG2 une filiale de la Société Générale elle a subi une des premières attaques en DDOS. Marc Cierpisz, directeur Business Développement Sécurité chez Econocom rappelle qu’à cette époque l’information devait être protégée mais les réseaux étaient relativement fermés aujourd’hui on se trouve dans un système d’aéroport dans lequel n’importe qui peut entrer interne, sous-traitants, clients.... Et avec n’importe quels outils servant à se connecter vers l’extérieur : PC portable, Smatrphones.... Lazaro Pejsachowicz, Président du CLUSIF rappelle que dans le passé les systèmes étaient fermés actuellement dans les entreprises on utilise les mêmes outils qu’à la maison.... Tant pour Lazaro Pejsachowicz que pour Nacira Salvan la sécurité périmétrique ne disparaîtra pas mais ce sont les autres solutions de sécurité qui s’y ajoutent afin de protéger toutes les nouvelles technologies qui se connectent sur le SI. Pour Stéphane Geyres d’Accenture, il n’y a pas d’avant et d’après dans les attaques il y a une adaptation des pirates informatiques aux évolutions des usages.

Selon Marc Cierpisz les trois quart des entreprises seraient compromises par des attaques non détectables par les outils actuels de sécurité. Lazaro Pejsachowicz rappelle que depuis sa création le CLUSIF a toujours parlé de la protection des données. D’ailleurs les méthodes comme MÉHARI ou EBIOS s’attachaient à démontrer que les outils sont certes importants mais l’organisation et les bonnes pratiques sont aussi importantes.

Mokrane Lamari, responsable avant-ventes chez Equinix rappelle que dans les Data center aujourd’hui il est aussi important pour les prestataires de sécuriser les interconnexions. D’autant que ces clients demandent d’avoir des interconnexions intégrant la sécurité. Pour Mado Bourgoin les machines virtuelles doivent être aussi sécurisées car elles sont des cibles potentielles. Effectivement, rebondit Nacira Salvan, la micro segmentation est importante, mais il faut aussi sécuriser l’hyperviseur. Pour Stéphane Geyres dès que l’on a mis le réseau en place il n’y a plus aucun moyen de savoir qui va se connecter, de ce fait, le périmètre est totalement éclaté. Bien sûr, reprend Christophe Menant, les entreprises sont souvent sous emprises et in s’aperçoit que souvent les États ont une vision très précise de ce qui se passe dans les entreprises. Il a cité le cas d’une entreprise filiale d’une société américaine et présente en France qui a reçu une lettre du FBI lui annonçant qu’elle avait été piratée. Le FBI avait un détail très précis sur les machines attaquées, mais aussi les adresses IP des attaquants... Pour lui, très souvent les attaques proviendrait de Chine, d’Iran, mais aussi des États-Unis voir d’autres pays. Pour Nacira Salvan, la menace a changé car n’importe qu’elle petit pirate peut se procurer des outils d’attaques de très haut niveau. Il est donc aujourd’hui important d’introduire des éléments autour de l’aspect comportemental.

La bataille de la sécurité est aujourd’hui une bataille perdue pour les entreprises françaises si on s’attache uniquement à la Défense. Il faut raisonner avec une approche risque. C’est pour cela qu’il faut avoir un modèle ou l’on parle de résilience. Il faut donc construire son SI comme un aéroport avec une tour de contrôle qui va estimer les risques en sachant que les attaques passeront toujours. Stéphane Geyres reprend en expliquant qu’il est nécessaire de limiter les pertes

Marc Cierpisz rappelle que les entreprises connaissent très mal leur cartographie de leur SI. Le problème est de savoir qui est le responsable des données le RSSI, la DSI, les Métiers... Le sujet n’est pas clair pour Lazaro Pejsachowicz dans ce débat le RSSI qui a une vision neutre doit être un arbitre entre les différents services DAF, métiers, production.... Pour lui, le plus grave problème du DLP est le marketing américain qui a expliqué aux entreprises que le DLP était conçu pour empêcher aux données de sortir de l’entreprise. Par contre, ils ont oublié de dire que celui qui veut faire sortir des données trouvera un moyen de le faire. En fait, ce système permet uniquement d’éviter les sorties de documents réalisés par inadvertance.

José Diz : Comment on est venu à la sécurité de la donnée ?

Stéphane Geyres la donnée n’est protégée que par les endroits où elle passe. Le problème est plutôt qu’elle est le flux dans lequel va passer la donnée. Pour Christophe Menant la donnée doit avoir un attribut qui permettra à tout moment de la géolocalisé dans le SI. Pour l’instant, il n’y a pas de produit pour le faire. Par contre on commence à avoir des gérer son cycle de vie. La Chine vient de sortir son plan pour les cinq prochaines années ce qui peut donner des informations sur quel pan des économies occidentales pourraient être attaquées.

Pour Lazaro Pejsachowicz, le système d’étiquetage des informations à lamentablement échouer y compris dans l’armée. Il faut revenir à l’homme qui est le centre de tout système de sécurité. On ne peut pas simplifier la sécurité car chaque entreprise doit définir sa sécurité avec ses outils parmi lesquels il est nécessaire de faire de la sensibilisation. Christophe Menant comme Mokrane Lamari expliquent que les hébergeurs sont des cibles pour les pirates et doivent donc sécuriser leurs interconnexions. La démarche des pirates est de se créer un compte administrateur puis adresser petits codes discrets pour s’installer dans le SI puis exfiltrer des données. Cette démarche peut prendre beaucoup de temps qui peuvent se compter en mois voir en années.

José Diz : quid de l’utilisateur ?

Stéphane Geyres les attaques en phishing via l’envoi d’une pièce attaché met en jeu trois acteurs : l’utilisateur qui clique, le pirate amis aussi les éditeurs comme Adobe, ou Microsoft qui laissent la possibilité de le faire. Lazaro Pejsachowicz explique que l’humain doit être un agent de la sécurité de l’entreprise et c’est le travail du RSSI que de convertir les collaborateurs à la sécurité grâce à la sensibilisation. Ce travail est difficile mais est une nécessité pour améliorer le niveau de sécurité des entreprises.


Voir les articles précédents

    

Voir les articles suivants