Déjouer les pièges de la sécurité informatique

En 2011, la cybercriminalité n'aura jamais autant fait parler d'elle. L'avènement des réseaux de hackers comme Anonymous et les attaques répétées des systèmes d'information de plusieurs gouvernements ont remis la sécurité informatique au centre des préoccupations SI. On enregistre une hausse de près de 29 % des actes de piratage informatique en France, selon les données du ministère de l'Intérieur NDLR: information parue dans le quotidien Le Figaro du 12 décembre 2011.. En avril 2011, le groupe La Poste a lancé un appel d'offres pour équiper l'ensemble de ses entités (La Poste, La Banque Postale, etc.) d'un nouveau système de sécurité informatique. Preuves que les grands comptes redoublent d'efforts pour améliorer leur système de sécurité informatique. Sur ce segment de marché, où le modèle de ventes indirectes prime, les donneurs d'ordres (architectes sécurité, directions des risques ou encore directions des systèmes d'information) devront maîtriser les cartes d'une bonne négociation.

@ VLADISLAV KOCHELAEVS / FOTOLIA

De nouvelles sources de menaces

Si le contrat pour une prestation de sécurité informatique court entre un et trois ans, le donneur d'ordres aura la possibilité de maintenir le prix de son service durant deux années consécutives. Il faudra également prendre en considération le temps nécessaire pour gérer la solution en interne. «Nous consacrons une demi-journée par semaine d'un équivalent temps plein à vérifier les résultats des scans, ce qui est relativement faible», confie Patrick Chambet, responsable du centre de sécurité groupe chez C2S (groupe Bouygues), au sujet de la solution en mode SaaS Qualys Vulnerability Management. Cette dernière permet d'identifier et de contrôler, de façon automatique, les vulnérabilités des centaines d'adresses IP de l'opérateur, de réduire le temps dédié à vérifier l'exactitude des rapports ou à mettre à jour le logiciel. Au-delà du prix qui pondère le choix de la solution à 60 %, la technologie implémentée est déterminante.

« On assiste à un durcissement des couches de sécurisation », déclare David Grout, directeur technique chez l'éditeur McAfee. Pour Gérôme Billois, manager practice security & risk management chez Solucom, un cabinet de conseil en sécurité informatique, ce besoin de renforcer la protection des systèmes d'information tient également à l'explosion des moyens d'accès aux applications et aux données électroniques. Smartphones, tablettes, virtualisation des infrastructures informatiques... Ces innovations technologiques constituent un point d'entrée supplémentaire vers le SI pour perpétrer les cyberattaques. Ainsi, les usages professionnels sur les terminaux mobiles personnels des collaborateurs se développent. Mais cette pratique, appelée «bring your own device» en anglais, multiplie les sources de menaces pour les entreprises. Accepté voire encouragé par certaines directions achats, dans la mesure où il réduit les coûts de bureautique et de téléphonie pour l'entreprise, cet usage impose progressivement de reconfigurer le système de sécurité car il multiplie les risques pour les entreprises. «Il est désormais nécessaire de porter la sécurité informatique jusqu'aux terminaux personnels du client final, à savoir le collaborateur», ajoute David Grout (McAfee). Le donneur d'ordres peut alors envisager deux méthodes. La première dite «réactive» consiste à pallier un incident de sécurité en intégrant des compléments de solutions et représente environ 8 % du budget global de la sécurité informatique de l'entreprise. La seconde, préventive, revient à adopter une approche globale de la sécurité et peut atteindre jusqu'à 5 % du chiffre d'affaires de l'entreprise. Mais quelles sont concrètement les réponses de l'offre à ces nouvelles sources de risques?

Selon Gérôme Billois (Solucom), les solutions proposées par les acteurs du marché de la sécurité informatique tendent à plus de verticalité pour une sécurisation doublée: des briques de sécurité destinées aux infrastructures SI complétées par une protection des données et des applications. Symantec, McAfee, Kaspersky ou encore Trend Micro, leaders du marché selon l'institut Gartner, proposent des solutions alliant des offres globales construites généralement autour d'un logiciel de sécurité dédié infrastructure (antivirus, antispam ou encore firewall) et bénéficiant d'une mise à jour constante.

David Grout, McAfee

« On assiste à un durcissement des couches desécurisation. »

Jusqu'à 10 % de données critiques

Ces offres visent à contrer les attaques sur les serveurs, les passerelles et les postes de travail, grâce à la mise à jour des bases de signaturesSignature de sécurité: virus, malware, phishing, etc. Chaque cyberattaque émet une signature électronique enregistrée par les éditeurs sur un filtre de sécurité. Ce dernier est alors intégré, sous forme de mise à jour, directement sur les serveurs ou sur les postes de travail. représentant une menace (virus, spam, phishing, etc.). Par exemple, chez Trend Micro, à chaque détection d'une nouvelle menace informatique, l'éditeur adresse à ses clients une nouvelle base de signatures de virus. Ces logiciels peuvent désormais être intégrés sur les couches de virtualisation des systèmes d'information hébergés chez certains prestataires, les rendant compatibles avec un univers informatique en mode cloud computing. De l'autre côté, les briques de protection des données empêchent toute intrusion dans les environnements informatiques nomades ou mutualisés, comme les portables, mobiles, tablettes ou partitions de serveur. Trois technologies sont aujourd'hui utilisées: le chiffrement, la prévention de la fuite de données (DLP, data leak prevention), la gestion des droits numériques (DRM, digital rights management). Mais il convient d'abord d'identifier les données critiques. «Car elles ne représentent que 5 à 10 % du patrimoine informatique de l'entreprise, explique Gérôme Billois (Solucom). Inutile donc de sécuriser toutes les données. »

Olivier Marion, roupe Samse

Témoignage
«33 % d'économies avec la nouvelle solution firewall»

Olivier Marion, responsable infrastructures SI, et Laurent Tardy, directeur achats, ont travaillé de concert sur la mise en place du firewall destiné à sécuriser l'accès internet local de 27 magasins de l'enseigne de bricolage du groupe Samse. «L'offre retenue devait respecter l'architecture SI de chaque magasin : garantir la protection des adresses depuis le réseau intranet de l'entreprise et permettre un accès de secours via Internet. De plus, le prestataire avait pour mission de délivrer un service d'accompagnement», explique Olivier Marion. Après avoir établi une short list composée de deux fabricants, l'équipe projet retient en septembre 2010 la solution de l'éditeur français NetAsq car la mise en oeuvre du test proof of concept, qui n'aura nécessité qu'une journée, a satisfait à ses exigences. La livraison s'achève en janvier 2011. Laurent Tardy précise que les fondements des achats reposent sur le «juste besoin», les coûts complets et avant tout sur du bon sens. «Notre fonction, transversale et commune avec les gestionnaires de dossiers, nous conduit de facto à adopter une approche complémentaire avec chacun d'entre eux, précise-t-il. Notre rôle est alors de diffuser la culture et les méthodologies achats afin que tout le monde se les approprie, et ce dans la durée. C'est ainsi qu'une action achat se transforme en résultat durable et rentable. Le travail interne est donc un travail d'équipe quotidien et collégial.» La mise en application de ces méthodes partagées a permis une optimisation du prix d'achat de 33 % par rapport à la première offre en faisant jouer la concurrence sur la base du même cahier des charges.

Chiffrement, DLP et RDM

Le chiffrement consiste à crypter les données et à les rendre aux seuls individus concernés, en leur confiant une clé électronique leur permettant d'accéder à ces fichiers sensibles. Cette solution s'avère toutefois chronophage: «Il faut compter environ 45 minutes pour chiffrer 60 gigas de données», explique David Grout (McAfee). Attention également au coût du chiffrement qui varie selon l'emplacement de la solution. Comptez entre 50 et 100 euros HT pour un chiffrement par poste de travail, mais de 10 000 à 50 000 euros pour un déploiement sur des plateformes collaboratives. Prudence également lors de l'attribution des clés aux utilisateurs!

Deuxième technologie: le DLP. Celui-ci fait davantage l'objet de critiques. Si cette technologie permet d'établir des règles de sécurité et de déclencher des alertes pour prévenir des menaces, elle impose une catégorisation drastique des données (localisation, accès, degré de sensibilité). A défaut, la solution pourrait déclencher de fausses alertes - inutiles donc coûteuses.

Enfin, le DRM apparaît comme l'ultime pan de sécurisation des données. La gestion des droits numériques assure un contrôle de l'accès aux données par le biais de droits d'usage accordés à un choix ciblé d'utilisateurs. Peu déployée, cette technologie ne posséderait pas encore de standard si bien que chaque éditeur est libre de créer son modèle de sécurisation. Autre contrainte, elle reste très difficile à déployer dans un environnement informatique composé de plusieurs entités. «Il faut en effet contrôler régulièrement l'identité des entités internes comme externes», nuance Gérôme Billois (Solucom).