Sécurité : où sont les projets

Sécurité : où sont les projets ?
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
PRÉSENTATION
Présentation
Contrôle des accès physiques et
logiques, sécurisation des systèmes de contrôle
industriels, gestion des risques, sécurisation des
échanges électroniques, SSO, authentification forte, ou
encore supervision de la sécurité avec un système de
gestion des informations et des événements de
sécurité… Autant de sujets clés de la sécurité des
systèmes d’information modernes abordés ici au
travers de témoignages récoltés tout au long de
l’année. 
JU IL L E T
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
2 01 4
CYRILLE CHAUSSON
Rédacteur en chef ,
TechTarget / LeMagIT
2
SÉCURITÉ : OÙ SONT LES PROJETS ?
CONTEXTE
Contexte
1.
Sécurité : temps et budgets encore trop négligés
S’appuyant sur le sondage de près de 3000 entreprises
à travers le monde, Kaspersky Labs tire - une nouvelle
fois - la sonnette d’alarme : temps et budgets alloués à
la sécurité semblent largement insuffisants face une
menace de plus en plus prégnante
PRÉSENTATION
CONTEXTE
2.
TÉMOIGNAGES
Sécurité : la pénurie de compétences touche le monde
entier
La France ou encore le Royaume-Uni ne sont pas
les seuls pays concernés par les difficultés de
recrutement en matière de sécurité informatique.
3.
Le numérique, une révolution en marche pour les RSSI
La nouvelle révolution du numérique, portée par
la consumérisation, le Cloud, les réseaux sociaux,
l’interconnexion
croissante
des
systèmes
d’information, entre autres, commence à
transformer radicalement le métier des RSSI.
3
SÉCURITÉ : OÙ SONT LES PROJETS ?
1.
SÉCURITÉ : TEMPS ET BUDGETS ENCORE TROP
NÉGLIGÉS
S’appuyant sur le sondage de près de 3000 entreprises à
travers le monde, Kaspersky Labs tire - une nouvelle fois
- la sonnette d’alarme : temps et budgets alloués à la
sécurité semblent largement insuffisants face une menace
de plus en plus prégnante.Il faut faire plus, semble
indiquer l’étude réalisée par B2B International pour
Kaspersky auprès de près de 3000 entreprises du monde
entier, dont une petite centaine en France. Ainsi, en
Europe, seulement 38 % des sondés estiment disposer
d’un temps et d’un budget suffisant pour développer leurs
politiques de sécurité IT. L’éditeur souligne que 32 % des
sondés ont en outre indiqué que les personnels de leurs
organisations peinent à se conformer aux règles de
sécurité en place. Des règles incomprises pour 38 % des
sondés. Et pourtant, 60 % des personnes interrogées ont
indiqué faire circuler régulièrement des bulletins
d’information visant à sensibiliser les utilisateurs. Mieux
: 58 % des sondés proposeraient des programmes de
formation ciblés. Las, seulement 46 % indiquent pouvoir
infliger des sanctions aux utilisateurs ne respectant pas
les règles de sécurité en place.
CONTEXTE
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
Sécuriser le périmètre humain semble encore difficile. Et
tant pis s’il n’a rien de négligeable. Car si les
vulnérabilités et failles dans les logiciels des entreprises
on reculé en deux ans - rencontrées par 47 % des sondés
en 2011, elle ne le sont plus que par 39 % en 2013 - , les
fuites et les partages de données accidentels par les
utilisateurs restent stables - reconnus par 32 % des
sondés. Il faut ajouter à cela les pertes et vols de
terminaux mobiles, reconnus par 30 % , les vols/fuites de
données intentionnels (19 %), les partages inapropriés (18
%), ou encore les défaillances de partenaires et de
fournisseurs (15 %). En tout, 24 % des entreprises
interrogées ont souffert de pertes de données métiers dues
à des facteurs internes, avec, dans 6,5 % des cas, la perte
de données sensibles.
Le BOYD encore peu abordé
L’étude commandée par Kasperky montre en outre que le
BYOD a des conséquences bien réelles en matière de
sécurité : 95 % des sondés auraient ainsi fait l’expérience
d’un incident de sécurité lié à des terminaux mobiles au
cours des 12 derniers mois.
4
SÉCURITÉ : OÙ SONT LES PROJETS ?
Et dans 38 % des cas, cela s’est soldé par la fuite de
données internes importantes. L’éditeur russe le souligne
: «les menaces mobiles poussent les entreprises à
déployer des règles de sécurité supplémentaires pour les
terminaux mobiles. Toutefois, cela ne se concrétise pas
dans toutes les entreprises.» Selon les résultats de l’étude,
seules 14 % des entreprises disposeraient de règles de
sécurité totalement déployées pour les terminaux
mobiles. Le déploiement serait en cours dans 41 % des
entreprises. Reste 45 % qui en sont complètement
dépourvues.
Mais le monde de l’entreprise semble totalement divisé
quant à l’approche à adopter en matière de BYOD. 35 %
des entreprises de l'étude veulent interdire ou essayer de
limiter le plus possible le phénomène. 31 % des sondés
l’acceptent, et 34 % le considèrent comme une fatalité
impossible à éviter.
Las, faute de prévoir et d’anticiper, la gestion des
incidents de sécurité a un coût. Kaspersky estime ainsi à
13 000 $ le coût de recours à des services tiers
additionnels pour une PME, et à près de 110 000 $ pour
une grande entreprise. Mais ce n’est qu’une moyenne.
CONTEXTE
L’éditeur relève que des PME ont eu à débourser jusqu’à
350 000 $ pour faire face à un incident de sécurité, contre
7,5 M$ pour de grandes entreprises. Et c’est sans compter
les pertes liées à l’activité car, dans 60 % des cas, les
fuites de données auraient «significativement» perturbé
PRÉSENTATION
l’activité et, pour près de 30 %, provoqué la perte de
CONTEXTE
contrats ou d’opportunités commerciales. Le tout pour un
TÉMOIGNAGES
montant estimé à 22 000 $ en moyenne pour une PME, et
150 000 $ pour une grande entreprise. En parallèle,
Kaspersky estime que, en moyenne, renforcer le
recrutement dans le domaine de la sécurité coûterait 9
000 $ pour une PME, et 57 000 $ pour une grande
entreprise.
Financièrement, la pire menace semble être celle des
attaques ciblées, avec un coût total moyen estimé à 2,4
M$ pour une grande entreprise, et 92 000 $ pour une
PME. Viendrait juste après l’intrusion réseau, à 1,67 M$
et 73 000 $ respectivement. —Valéry Marchive
5
SÉCURITÉ : OÙ SONT LES PROJETS ?
2.
SÉCURITÉ : LA PÉNURIE DE COMPÉTENCES TOUCHE
LE MONDE ENTIER
Recruter des compétences en sécurité informatique n’est
pas chose facile, relève Reuters. Nos confrères soulignent
ainsi que, dans le monde entier, «la demande en faveur de
spécialistes [de la sécurité informatique] dépasse
largement le nombre de personnes qualifiées», poussant à
l’inflation des salaires dans une vive compétition entre
entreprises mais également entre celles-ci et les
gouvernements. Et de rappeler que le Cyber Command de
l’armée américaine entend recruter 4 000 spécialistes
d’ici la fin 2015 pour doubler ses effectifs. Interrogé par
nos confrères, Chris Finan, ancien directeur de la cyber
sécurité à la Maison Blanche, constate simplement que
«en définitive, c’est une question de capital humain et
nous n’en avons pas assez.»
Les recrues se permettent donc d’être pointilleuses,
«choisissant où elles travaillent en fonction du salaire, du
mode de vie, et de l’absence de bureaucratie oppressante
ce qui rend particulièrement difficile le recrutement dans
le secteur public.»
CONTEXTE
Outre Atlantique, les salaires iraient ainsi de 110 000 $ à
140 000 $ par an pour les spécialistes «bien» qualifiés,
voire 200 000 $ pour les plus talentueux.
PRÉSENTATION
CONTEXTE
En Europe, le Royaume-Uni vient de lancer un
partenariat public-privé pour renforcer l’émergence de
compétences en cyber-sécurité. En juin dernier, BAE
Systems indiquait s’investir pour former plus de
compétences dans le domaine.
TÉMOIGNAGES
Et en France, la concurrence pour le recrutement de
compétences est rude. Lors des Assises de la Sécurité,
début octobre à Monaco, Patrick Pailloux, directeur
général de l’Anssi, rappelait encore ses ambitions en la
matière. Dans un entretien accordé à Security Defense
Business Review, le Contre-Amiral Arnaud Coustillière,
Officier général «cyberdéfense» évoquait récemment la
création de 350 postes à créer, d’ici 2019, dans la chaîne
SSI du Ministère de la Défense.
En janvier 2013, c’était le Général d’armée et directeur
du Centre de recherche de l’Ecole des officier de la
Gendarmerie Nationale, Marc Wattin-Augouard, qui
interpelait sur le manque d’experts en sécurité formés en
France, rejoignant déjà Patrick Pailloux.
6
SÉCURITÉ : OÙ SONT LES PROJETS ?
Mais dès début 2011, Frost & Sullivan tirait la sonnette
d’alarme dans une étude conduite pour (ISC)2, évoquant
1,15 million d’emplois liés à la sécurité informatique
dans la région EMEA à l’horizon 2015. —Valéry
Marchive
3.
LE NUMERIQUE, UNE REVOLUTION EN MARCHE POUR
LES RSSI
Une fois de plus, les Assises de la Sécurité, qui se
déroulaient la semaine dernière à Monaco, ont été
l’occasion de dresser un état des lieux de la fonction SSI
(sécurité des systèmes d’information) au sein des
entreprises. Et la mutation du numérique, entraînée par la
consumérisation, le Cloud, et les réseaux sociaux,
notamment, semble bien là. Caroline Apffel, consultante
chez Spencer Stuart, relève ainsi, selon les résultats d’une
étude conduite par le Cercle Européen de la Sécurité
auprès de 300 RSSI, que les impacts de cette mutation,
s’ils restent naissants, n’en sont pas moins réels. Les
notions de service et d’élasticité gagnent ainsi en
importance, avec «une attente plus importante sur le
niveau de service que doit apporter l’entreprise» à ses
collaborateurs. Surtout, la dépendance à la disponibilité, à
CONTEXTE
l’intégrité et à la confidentialité des informations va
croissante. Alors même que la surface d’attaque
potentielle ne fait que s’étendre.
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
7
Olivier Daloy, Ciso du groupe LVMH, ne contredit pas
ces tendances. Pour lui, le point clé tient au «passage
d’un risque technique à un risque lié aux données et à
l’identité des utilisateurs.» C’est la fin de la sécurité
périmétrique et le début d’un recentrage sur «la donnée
elle-même.» Ce qui ne manque de faire ressortir des défis
peut-être un peu ignorés par le passé : «cela a un impact
humain sur l’entreprise. La sensibilisation et la
communication sont plus que jamais nécessaires avec les
utilisateurs, car c’est là que se concentre le risque pour
l’entreprise.» Mais l’enjeu dépasse la sécurité et touche à
l’activité même de l’entreprise, souligne-t-il, précisant
qu’il est devenu important «de montrer l’efficacité de ses
processus de protection de données à ses clients.» De
quoi donner au RSSI une nouvelle dimension, lui
permettant de se positionner comme véritable facilitateur
de l’activité économique de l’entreprise.
SÉCURITÉ : OÙ SONT LES PROJETS ?
Amir Belkhelladi, directeur conseil technologique chez
Accenture, va plus loin, relevant que «l’entreprise
numérique est devenue, pour certaines organisation, un
coeur de métier», «un enjeu important de l’activité»,
même si les niveaux de maturité varient sensiblement
d’une entreprise à l’autre.
Piquant, Pierre-Luc Refalo, ancien du cabinet Hapsis
devenu récemment directeur de l’activité conseil en
sécurité de Sogeti France, souligne la futilité d’une
résistance à des tendances de fond appelées à s’amplifier.
Et de prendre l’exemple du BYOD : «aujourd’hui, le
discours anti-BYOD, je ne sais pas à quoi ça rime et
pourtant on l’entend encore beaucoup.» Reste que, selon
lui, tout cela contribue à construire de «l’instabilité» dans
la fonction SSI, voire même DSI. Ce qu’estiment
d’ailleurs deux tiers des professionnels sondés dans le
cadre de l’étude. 72 % des sondés assurent en outre revoir
leurs approches de la sécurité pour se recentrer sur la
protection des informations stratégiques, quand 68 %
d’entre eux renforcent leurs efforts sur le contrôle des
risques et la conformité.
CONTEXTE
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
8
Mais cette instabilité n’est pas si mauvaise. Caroline
Apffel relève ainsi qu'unanimement, les RSSI sondés
estiment que leur fonction ressort confortée, sinon
renforcée. Beaucoup auraient ainsi gagné en
indépendance. Et dans les grands groupes, la question de
la sécurité des systèmes d’information aurait tendance à
s’inviter au conseil d’administration, s’émancipant du
comité de direction. Ce qui n’est toutefois pas sans créer
de nouveaux défis, rendant «la fonction plus complexe»
et exigeant un effort d’adaptation de la communication,
comme le relève Olivier Daloy. Pour lui, le RSSI gagne
bien en visibilité, intéressant désormais le PDG. Mais
cela impose de savoir «lui parler de ce qui le concerne, de
ce qui l’empêche de dormir la nuit.»  —Valéry Marchive
SÉCURITÉ : OÙ SONT LES PROJETS ?
TÉMOIGNAGES
Témoignages
1.
L'organisation, la clé de la sécurité des Scada pour le
CEA à Cadarache
Interrogé par la rédaction à l’occasion de la
dernière édition des Assises de la Sécurité, début
octobre, à Monaco, Patrick Baldit, DSI du centre
de Cadarache du CEA insiste sur le volet
organisationnel de la sécurisation des systèmes
Scada.
PRÉSENTATION
4.
La Caisse Nationale d'Allocations Familiales a
retenu les appliances Axway pour implémenter
son standard interne de sécurisation des échanges
synchrones avec ses partenaires.
5.
CONTEXTE
TÉMOIGNAGES
2.
3.
GDF Suez consolide la
Skybox
gestion des risques avec
Christophe Long, RSSI adjoint de GDF Suez, a
détaillé la manière dont le groupe gérait de
manière intégrée ses risques informatiques.
9
SÉCURITÉ : OÙ SONT LES PROJETS ?
Leroy-Merlin ajoute le SSO à ses postes de travail
virtualizes
Leroy-Merlin devrait achever fin 2014 la
virtualisation de l’ensemble de ses postes de
travail. Un projet auquel l’enseigne a ajouté une
couche d’ouverture de session (SSO) unifiée afin
d’améliorer l’adhésion des utilisateurs.
VW : une seule carte pour le contrôle des accès
physiques et logiques
A l’occasion des Assises de la Sécurité, qui se
déroulaient début octobre à Monaco, le groupe
Volkswagen a montré comment il unifiait le
contrôle des accès physiques et logiques sur une
seule carte avec les solutions Nexus.
La Cnaf sécurise ses échanges électroniques avec
Axway
6.
Paybox supervise sa sécurité avec le SIEM de
LogRhythm
Connu pour ses solutions de paiement
électronique sécurisé, Paybox a choisi en 2012 de
moderniser la supervision de la sécurité de ses
infrastructures en s’appuyant sur le système de
gestion des informations et des événements de
sécurité de LogRhythm.
TÉMOIGNAGES
1.
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
10
L 'OR G AN I SA TI ON , L A C L E DE L A SEC UR I TE
DES SCA DA P OU R L E C E A A C ADAR ACH E
C’est une organisation quelque peu avant-gardiste
dont profite le centre de Cadarache du CEA
(Commissariat à l'énergie atomique) pour la gestion de
son informatique. De fait, la DSI ne se contente pas de
couvrir les aspects classiques des systèmes d’information.
Patrick Baldit, à sa tête, explique ainsi piloter quatre
laboratoires. Les trois premiers touchent à des domaines
classiques : réseaux et télécommunications, infrastructure
serveurs, centres de calcul et postes de travail, et enfin
développement, maintenance applicative et veille
technologique. Le quatrième, également rattaché
directement à la DSI, concerne la télésurveillance et les
systèmes de contrôle commande. L’informatique
industrielle, donc, avec les systèmes Scada. « Nous
sommes organisés ainsi depuis une dizaine d’année. Et
lorsqu’il y a des problèmes d’arbitrage, c’est moi qui
tranche », explique Patrick Baldit. Et si force est de
constater que « la culture est très différente entre ceux qui
viennent de l’automatisme et ceux qui viennent de
l’informatique », cette organisation lui a permis « de bien
avancer en matière de sécurité. Et lorsque j’observe les
débats actuels sur la protection des Scada, je me sens
SÉCURITÉ : OÙ SONT LES PROJETS ?
conforté dans mon organisation ». Une organisation qui a
permis de dépasser les questions de cultures et de profils.
Parce que les automates programmables ont évolué, se
dotant de cartes réseaux : « perplexes initialement, les
experts de l’automatisme ont pu aisément se rapprocher
de leurs collègues du réseau. Et si, pour nous, cela n’a pas
toujours été simple, j’imagine que cela doit être difficile
lorsque l’on est organisé différemment. »
Une approche consolidée de la sécurité
La même logique s’étend déjà à la sécurité : « depuis
deux ans, à l’intérieur de notre DSI, nous avons monté
une équipe cyber-sécurité, avec un expert dans chaque
thématique. » Mais Patrick Baldit envisage d’aller plus
loin, dès le début 2014, pour composer une équipe
cybersécurité autonome, « compte tenu de l’ampleur que
prend le sujet. La sécurité devient le donneur d’ordre des
métiers de l’IT. Avant, on leur demandait simplement de
prendre en compte le sujet. Désormais, nous devons
d’abord faire de la sécurité, applicative, réseau et
infrastructure. C’est un changement récent, mais si on ne
le fait pas, on ne peut pas résister ».
TÉMOIGNAGES
Mais ce ne sera pas facile : Patrick Baldit cherche des
profils très spécifiques, capables d’aborder tant les
problématiques réseaux qu’infrastructure - « pas très
faciles à trouver ».
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
Des fournisseurs pas encore complètement
mûrs
Mais la maturité des fournisseurs semble aussi poser
question. Si les spécialistes des systèmes Scada
collaborent au groupe de travail de l’Anssi (Agence
nationale de la sécurité des systèmes d'information) sur le
terrain, « il faut encore passer la barrière de l’avantvente » pour aborder des interlocuteurs compétents et
concernés par la question de la sécurité. « Et nous avons
des installations nucléaires. On ne peut pas se permettre
d’avoir un incident parce qu’une ventilation tombe en
panne à cause d’un attaquant! »
Et ceux qui viennent de l’informatique ne sont pas
forcément infaillibles. « En début d’année, nous avons eu
un incident avec un prestataire pour la tierce maintenance
applicative. Il devait mettre à jour le firmware d’un
automate, sur le réseau industriel, isolé du réseau
11
SÉCURITÉ : OÙ SONT LES PROJETS ?
bureautique. Las, il l’a téléchargé sur un PC vérolé, et
installé à partir d’une clé USB qui a infecté l’ordinateur
du réseau utilisé pour l’application de la mise à jour. » Un
incident qui ne va pas sans rappeler la manière dont
Stuxnet s’est initialement propagé dans l’usine de Natanz,
en Iran.
Alors pour éviter cela, la DSI met en place de nouveaux
processus, sensibilise et montre la réalité de certains
incidents : « c’est indispensable. Il est essentiel de se
donner les moyens de traduire de manière opérationnelle
le plan de sécurité du système d’information. Si on ne le
fait pas, il ne sert à rien de l’écrire. » Par exemple, les
données à diffusion restreinte sont chiffrées avec les
outils de Prim’X, retenus pour leurs fonctionnalités et
leur facilité de mise en oeuvre, avec ZoneCentral dans un
premier temps, pour les dossiers et fichiers partagés, puis
ZonePoint, pour le partage de documents avec les
partenaires. Mais pas question de déployer des outils sans
l'organisation adaptée pour garantir leur utilisation : pour
s’assurer que les outils sont bien utilisés, les équipes de
Patrick Baldit ont mis en place des workflows et intégré
la supervision du chiffrement à l’outil d’IAM (Identity
Access Management) de la DSI. —Valéry Marchive
TÉMOIGNAGES
2. V W : UN E S EUL E CAR TE P OUR L E C ON TR OL E
DES A CCE S P H YS IQ UE S ET L OGI QU ES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
12
Avec plus de 700 000 utilisateurs répartis dans le monde
entier, le groupe Volkswagen ne peut pas se permettre de
multiplier les solutions et les couches de gestion des
identités et des accès, physiques comme logiques - à rien
moins que 2 200 applications -, ne serait-ce que pour des
questions de coûts. Il y a donc longtemps que le
constructeur automobile travaille à la gestion unifiée des
identités et des accès. Mario Baermann, chef de projet
sécurité chez Volkswagen, explique ainsi que le groupe
s’est doté d’une infrastructure PKI dès 2002. Mais celleci n’était qu’une base pour aller plus loin et permettre
l’authentification à deux facteurs pour l’accès logique
aux applications clés. Et suivant différents moyens : carte
à puce à insérer dans un lecteur ad-hoc sur les postes de
travail, en complétant d’un code PIN ou d’un code
personnel à usage unique, mais aussi RFID pour les accès
physiques aux locaux et le règlement des repas à la
cantine, ou encore bande magnétique pour l’accès à
d’autres services comme le remplissage de réservoirs de
voitures. Le tout avec, pour les services logiques, une
fonction de SSO afin d’éviter les authentifications
multiples et fastidieuses. L’utilisation de codes barres est
SÉCURITÉ : OÙ SONT LES PROJETS ?
également envisagée dans des cas spécifiques, tels que le
déploiement initial rapide de l’offre de service sur un site
donné. Mais l’équipe de Mario Baermann pense déjà au
futur : « les ordinateurs de demain n’auront pas
forcément leur carte à puce. Et nous devrons supporter de
nouveaux terminaux. Nous réfléchissons donc aux
moyens de communication sans contact. »
Une échelle impressionnante
Au total, le groupe compte déjà 230 applications de coeur
de métier supportant la carte d’accès unique, « avec une
tendance à la croissance », et 300 000 badges déployés,
avec un objectif de 700 000. Mais là, rien n’est simple,
compte tenu de l’échelle du projet : « le déploiement
n’est pas toujours très simple. Il faut les capacités IT
requises, la formation, le support, etc. […] Et nous
devons travailler conjointement avec les chargés de la
sécurité, de la sureté et de l’exploitation des sites. Et il
n’y a pas de telles unités à l’échelle du groupe. » Autant
de clients aux spécificités avec lesquelles il faut donc
composer, en plus des différents fuseaux horaires ou des
barrières linguistiques. D’où des équipes dédiées et des
TÉMOIGNAGES
PRÉSENTATION
consoles de gestion des cartes dans chaque fuseau horaire
où le groupe est présent, « pour accélérer le déploiement
et l’adoption ». Heureusement, les retours sont plutôt
positifs, faisant notamment état d’une véritable
simplification. Mais la personnalisation reste un point
difficile, de même que la gestion du cycle de vie des
cartes : « les processus associés sont complexes et
susceptibles de générer des erreurs ».
CONTEXTE
TÉMOIGNAGES
Simplifier et industrialiser
C’est donc à leur simplification et à leur industrialisation
que travaille actuellement le groupe. Jan-Patrick Feige,
chef de projet sécurité chez Volkswagen, souligne
l’importance, dans ce cadre, de communiquer avec les
utilisateurs finaux, pour produire un service qui réponde à
leurs besoins : « pour eux, la technologie doit être
invisible alors qu’elle compte beaucoup pour nous. Nous
avons donc besoin de processus flexibles et supportant
une grande échelle de déploiement. Ainsi que
d’importantes capacités d’intégration avec d’autres
applications et services. » En outre, le groupe a besoin
« de processus robustes, c’est-à-dire stables dans l’instant
13
SÉCURITÉ : OÙ SONT LES PROJETS ?
et stables dans le futur, même si l’environnement
utilisateur change ». Et la gestion des cartes d’accès
communes s’appuie sur quatre piliers : la gestion des
identités et des rôles, associée à celles des droits et
restrictions, la gestion des accès, la gestion du cycle de
vie des identités et des rôles, et enfin l’authentification.
« Nous réévaluons ces quatre services de base dans le
cadre d’un processus d’amélioration continue », explique
Jan-Patrick Feige. Mais également, dans ce contexte, les
workflows de production des cartes à puce au sein des
différentes entités du groupe : « chaque entreprise peut
avoir son propre workflow, souvent avec les mêmes
étapes, mais réalisées dans un ordre différent. Nous
travaillons à atteindre un seul workflow simplifié »,
notamment pour réduire les coûts et simplifier le travail
des utilisateurs.
D’où l’utilisation de Nexus Credential Manager, qui
« propose un moteur de workflow solide et moderne. Il
dispose de toute la flexibilité dont nous avons besoin
pour construire nos processus en nous concentrant sur le
client et l’utilisabilité ».
TÉMOIGNAGES
En outre, grâce à son architecture multi-tenant, Nexus
Credential Manager supporte des subtilités « à l’échelle
du groupe, comme d’une seule équipe ». Et si cela peut
« paraître simple dit comme cela, c’est très difficile »,
souligne Jan-Patrick Feige, précisant que le projet a du
PRÉSENTATION
être divisé en plusieurs sous-projets. Mais à la clé, le
CONTEXTE
groupe pourra même implémenter un portail de self-
TÉMOIGNAGES
service de ses cartes pour ses utilisateurs finaux et
disposer d’outils robustes de suivi et de reporting des
accès.
« Mais ce n’est pas la fin du voyage. Nous avons utilisé
un temps la combinaison nom d’utilisateur/mot de passe.
Nous savons que ce n’est plus sûr aujourd’hui. Le couple
PKI/OTP l'est davantage aujourd’hui. Mais les attaquants
ne se reposent pas sur leurs lauriers. Nous devons donc
penser à la suite, à la biométrie par exemple. Et
Credential Manager est prêt pour cela. » —Valéry
Marchive
14
SÉCURITÉ : OÙ SONT LES PROJETS ?
3. GDF S UEZ C ON S OL I DE
R IS QU ES A VEC SK Y BO X
LA
GE ST I ON
DE S
Le groupe GDF Suez est fort d’une très longue histoire,
marquée au final par des activités extrêmement variées.
Certaines sont bien connues, d’autres moins, comme
l’installation de radars ou encore l’administration de
prisons, rappelait ainsi Christophe Long, RSSI groupe
adjoint, de GDF Suez, en introduction à son témoignage
lors de la dernière édition des Assises de la Sécurité, qui
se déroulaient début octobre à Monaco. Au final, il faut
ainsi compter avec cinq branches d’activités et 3 500
entités juridiques. Pour gérer de manière cohérente la
sécurité de ses systèmes d’information, le groupe dispose
d’une RSSI groupe « qui assure un rôle transverse ».
Avec humour, Christophe Long relève que « pendant
longtemps, je disais que la sécurité informatique, c’était
80 % de bon sens et 20 % de savoir. Mais si le bon sens
est partagé par tous, c’est aussi pour cela qu’il y en a
aussi peu par personne ». Pas question, donc, de la laisser
reposer sur le seul bon sens des individus. Las, les
évolutions de l’environnement IT, des usages, ont conduit
à une multiplication des risques, tant au niveau des
infrastructures IT que des applicatifs, « de manière un
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
peu anarchique ». Pour gérer le risque touchant aux
infrastructures, le groupe s’appuie donc sur des contrôles
internes, sur un système de gestion des informations et
des événements de sécurité (SIEM), sur un centre de
sécurité opérationnelle (SOC), et sur Skybox. Un outil,
relève le RSSI groupe adjoint, qui a permis de développer
une vision globale du risque.
Une vision intégrée du risque
Et de fournir une solution en environnement complexe,
fort de plusieurs milliers de serveurs, adossés à une
« construction télécoms qui a été un peu complexe ».
Face à cela, obtenir une vision complexe du risque
s’avérait difficile : « il y a bien des solutions sur le
marché mais toutes étaient trop chères », hormis Skybox,
complété par le scanner de vulnérabilités applicatives
Nessus. « Là, on peut regrouper les plates-formes
techniques et disposer d’une vision complète sur les
vulnérabilités applicatives », explique Christophe Long.
Et de prendre l’exemple de la plateforme Omega, « qui
gère la clientèle particuliers de GDF Suez. Ce sont 400
serveurs avec autant de configurations différentes.
15
SÉCURITÉ : OÙ SONT LES PROJETS ?
Aujourd’hui, nous sommes capables d’identifier les
vulnérabilités et de dire si les correctifs ont été appliqués
ou non. Avant, c’était impossible ».
En outre, Skybox permet de définir précisément le
périmètre de reporting « pour répondre aux besoins
spécifiques des entités hébergées sur notre réseau ». La
solution permettrait même de développer une visibilité en
temps réel mais « pour l’instant, nous nous contentons
d’un scan par mois, parce que chaque scan génère des
logs et la configuration de certains serveurs ne le
supporterait pas ». L’objectif, à terme, est d’arriver à un
scan de vulnérabilités par semaine. En outre, dans sa
configuration
actuelle,
Skybox
s’avère
peu
consommateur de ressources humaines - « une personne
deux à trois heures par jour pour gérer tout cela. »
Plus loin, la RSSI groupe entend intégrer la cartographie
de son réseau au sein de Skybox. Ce qui lui permettra de
disposer d’une visibilité plus fine sur le cheminement
d’incidents dans son infrastructure.
De premiers résultats
TÉMOIGNAGES
SAP-ERP
Et Skybox n’a pas mis plus de cinq minutes après son
déploiement pour livrer ses premiers résultats : des
partages de fichiers ouverts sur des serveurs bureautiques.
Des partages dans lesquels se trouvent des fichiers
d’installation d’applications, avec identifiant et mot de
PRÉSENTATION
passe administrateur… en clair. Des partages temporaires
CONTEXTE
qui n’avaient pas été refermés. Skybox a permis de
TÉMOIGNAGES
déterminer les priorités pour traiter les différents cas.
Mais aussi souple et apparemment efficace que soit le
duo
Skybox/Nessus,
Christophe
Long insiste
sur
l’importance de la communication auprès des managers :
« il faut que la sécurité soit intelligible et disposer de
mesures, d’indicateurs. » Pour lui, « il faut être habité par
le principe de réalité : les managers ne comprennent pas
la sécurité informatique, ils comprennent la réalité ; il
faut donc présenter la sécurité de manière terre à terre,
offrant de véritables résultats mesurables ». —Valéry
Marchive
16
SÉCURITÉ : OÙ SONT LES PROJETS ?
4. L A
CN AF
SEC UR I SE
SE S
EL EC TR ON I QUE S AV EC A X W AY
EC HAN G E S
Thierry Guiot, architecte sécurité à la Cnaf, rappelle le
contexte de la caisse : sa mission consiste à verser des
prestations d’aide aux familles et à lutter contre la
précarité. En tout, elle doit distribuer 80 Md€ par an,
répartis en 120 millions de virements. Mais tout cela ne
se fait pas seul. En tout, la Caisse Nationale d’Allocations
Familiales interagit électroniquement avec trois
partenaires financiers, 12 types de partenaires de
protection sociale - pour 88 flux de données -, 20 types de
partenaires publics - pour 86 flux - et 27 partenaires
privés et prestataires - pour 89 flux. Un total de près de
300 flux de données qui nécessitent d’être sécurisés.
L’enjeu s’avère d’autant plus grand que «l’enjeu des
prochains mois sera dans la coproduction des données,
leur certification et la lutte contre la fraude», explique
Thierry Guiot. Et de donner un exemple : «nous avons
besoin de vérifier les SIREN/SIRET en nous appuyant
sur un service Web délivré par l’Insee.» La lutte contre la
fraude s’appuiera quant à elle sur la construction «d’un
référentiel interbranches pour réaliser des contrôles
croisés et identifier d’éventuelles anomalies de
déclaration ».
TÉMOIGNAGES
Tout cela «implique une intensification des échanges
synchrones» entre la Cnaf et ses partenaires. Une
intensification qui impose «d’être agile dans l’exposition
du métier tout en garantissant l’intégrité du système ».
Par construction, le standard est conforme au référentiel
général de sécurité de l’Anssi, mais c’est
l’implémentation qui fera la conformité du système.
Sécuriser les flux
Un standard taillé sur mesure
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
17
Le standard Interops prévoit plusieurs typologies
D’où la naissance, dès 2004, d’un standard dédié aux
échanges entre organismes de la sphère sociale : Interops.
Issu d’un projet initié par la Direction de la Sécurité
Sociale, il vise à «définir une manière d’échanger
sécurisée et standardisée», et est arrivé en version 2.0 en
2012. «Il repose sur la confiance », explique Thierry
Guiot, précisant que «l’authentification et l’habilitation
[des personnes morales l’utilisant, NDLR] sont déléguées
aux organismes clients » ; ce qui permet de limiter les
coûts d’administration. Le standard permet en outre de
tracer de bout en bout les échanges pour en assurer le
contrôle à posteriori. Lui-même repose sur des standards
techniques connus et éprouvés : SAML, SSL, «pour
assurer sa portabilité, car chaque organisme est libre de
son implémentation », précise Thierry Guiot.
SÉCURITÉ : OÙ SONT LES PROJETS ?
d’échanges. Thierry Guiot précise qu’il n’est pas «intrusif
vis à vis du métier : lorsque l’on va vouloir développer un
service métier exposé, l’équipe concernée n’a pas besoin
de connaître Interops parce qu’il est basé sur des proxy et
des reverse-proxy qui s’intègrent au sein de la chaîne de
liaison et qui prennent eux-même le standard en charge ».
Depuis la fin 2012, la branche famille utilise ainsi le
standard en s’appuyant sur quatre appliances Axway
«pour la gestion des échanges synchrones ». L’un des
impératifs était de disposer d’une solution capable
d’évoluer en volume «pour industrialiser la sécurisation
de ces échanges ».
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
Les appliances retenues fournissent ainsi «une
approche sur étagère avec de nombreux filtres de
sécurisation. Elles sont modulaires, flexibles et intègrent
de nombreuses possibilités de manipulation de flux XML,
utiles pour les échanges SOAP ». En outre, Thierry Guiot
indique avoir été séduit par les «capacités d’interfaçage»
des appliances : «anti-virus, annuaire LDAP, bases de
données, serveur Radius... Nous avons pu les intégrer
véritablement à notre système d’information». Et de
résumer sa description à une solution «hybride entre parefeu applicatif et ESB ». —Valéry Marchive
5. L ER O Y- M ER L IN A J OU T E L E S S O À S ES P OS TE S
DE TR AVA IL VI R T UAL I S É S
C’est fin 2010 que Leroy-Merlin a lancé les premières
études visant à virtualiser ses postes de travail. Un projet
qui s’inscrit dans une démarche globale de «centralisation
de l’infrastructure IT de nos magasins,» explique
Thibault Lehoucq, chef de projet. Historiquement,
précise-t-il, les postes de travail dans les points de vente
de l’enseigne «étaient partagés. Un utilisateur ouvrait une
session Windows le matin et celle-ci restait ouverte toute
la journée.»
18
SÉCURITÉ : OÙ SONT LES PROJETS ?
Une approche qui interdisait toute forme de
personnalisation et pouvait poser des problèmes de
confidentialité, souligne-t-il.
Le SSO pour renforcer l’adhésion
En virtualisant, «nous apportons des sessions de travail
personnalisées avec ouverture de session par badge. Et un
même utilisateur peut se déconnecter/connecter sur
n’importe quel poste sans perdre son travail.» Un vrai
confort, renforcé par le SSO, qui permet à un utilisateur
de s’identifier une fois pour toutes à l’ouverture de
session, sans recommencer au lancement de chaque
application métier : «nous l’avons intégré au projet dès le
départ pour favoriser l’adhésion et éviter le rejet.
Historiquement, chaque utilisateur pouvait saisir jusqu’à
30 fois par jour son mot de passe. Avec le SSO, il gagne
en temps et en confort.» Pour parvenir à ses fins, LeroyMerlin a donc ajouté à son environnement Citrix
XenDesktop la solution de SSO du français Ilex, ainsi
que la solution de personnalisation de l’environnement
utilisateur Vuem de Norskale. Cette dernière permet
notamment de gérer «les connexions des lecteurs réseau
TÉMOIGNAGES
et les raccourcis vers les applicatifs. Et l’on gagne en
rapidité à l’ouverture de session,» explique Tibault
Lehoucq, tout en précisant que l’environnement
utilisateur est personnalisé en fonction de la mission de
l’utilisateur en magasin, à partir d’une image système
unique pour tous.
PRÉSENTATION
CONTEXTE
Réduire les coûts de maintenance
TÉMOIGNAGES
La centralisation de l’infrastructure doit aussi permettre à
Leroy-Merlin de réduire les coûts de maintenance liés
aux postes de travail : «le recours au help-desk est réduit.
Et partant d’une seule configuration, la gestion des mises
à jour est simplifiée. Les magasins réalisent aussi des
économies du fait du passage de postes lourds à des
clients légers, dont la durée de vie est plus longue.» Au
total, il estime pouvoir diviser par deux le coût associé
aux postes de travail.
Mais la virtualisation des postes
de travail permettra aussi à l’enseigne de gagner en
flexibilité et de penser à des évolutions métiers. Thibault
Lehoucq explique ainsi que des études sont en cours sur
le paiement directement en point de conseil, ou encore
sur le déplacement à domicile de conseillers pour, par
19
SÉCURITÉ : OÙ SONT LES PROJETS ?
exemple, préparer un projet de cuisine directement chez
un prospect.
De nombreux défis
Actuellement, trente magasins Leroy-Merlin sont déjà
passés au poste de travail virtualisé. L’objectif est
d’achever le déploiement à l’horizon fin 2014. Mais un
tel projet ne va pas sans difficultés. En particulier,
Thibault Lehoucq relève «les nombreuses couches
technologiques
impliquées,
tant
en
termes
d’infrastructure que de logiciels». Pour aboutir, un tel
projet nécessite donc «beaucoup de compétences
différentes et décloisonnées». Et concrètement, «parvenir
à une infrastructure stabilisée prend du temps». Une
période de stabilisation qu’il qualifie de «plutôt longue»,
sans entrer dans le détail. Et puis la faisabilité d’un tel
projet nécessite une connectivité de qualité. de se côté,
Leroy-Merlin s’était organisé à l'avance en lançant peu
avant un projet de raccordement de ses magasins à ses
centres de calcul par fibre optique, avec liens de secours
en SDSL. —Valéry Marchive
TÉMOIGNAGES
6. PA YB O X SU PER VI SE S A S ECUR IT E A VEC L E
SIE M DE L OGR H Y T HM
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
20
Connu pour ses solutions de paiement électronique
sécurisé, Paybox a choisi en 2012 de moderniser la
supervision de la sécurité de ses infrastructures en
s’appuyant sur le système de gestion des informations
et des événements de sécurité de LogRhythm.
Jusqu’au début de l’année 2013, Paybox s’appuyait sur
des outils développés en interne pour superviser la
sécurité de ses infrastructures. Une approche qui ne
manquait pas de souffrir de certaines limites et qui a
conduit Marc Thomas, directeur technique de Paybox, à
chercher un système de gestion des informations et des
événements de sécurité, un SIEM. «Nous utilisions une
solution de consolidation des logs, syslog, sous Linux,
pour récupérer les logs de l’ensemble de nos serveurs
pour les centraliser. Et cela sur chacun de nos trois sites
d’hébergerment. En réponse à nos besoins métiers, nous
avions développé des scripts en interne permettant de
remonter des alertes en fonctions d’événements
spécifiques.» Selon le niveau de criticité de l’événement
relevé, l’alerte pouvait être adressé à la personne
d’astreinte par e-mail, voire par SMS, sur son
SÉCURITÉ : OÙ SONT LES PROJETS ?
mobile. Une approche efficace «pour des événements très
ciblés orientés métiers» mais qui, de l’aveu même de
Marc Thomas, pouvait toucher à ses limites lorsqu’il
s’agissait de repérer «des comportement un peu
suspects». Trop «artisanal », donc. De quoi le pousser à
chercher des solutions.
Paybox a commencé à se rapprocher de différents
éditeurs de SIEM, «un monde que l’on connaissait mal».
Finalement, son attention s’est porté sur la solution de
LogRhythm, préconisée par le groupe Point dont fait
partie Paybox : «les équipes de LogRhythm nous ont
confirmés que leur solution intégrait des éléments
préconfigurés répondant à nos besoins, notamment pour
les audits annuels de conformité PCI DSS.» Dès lors, les
équipes de Marc Thomas ont transmis à l’éditeur des
fichiers de logs «pour voir comment se comportait leur
solution avec nos logs applicatifs ». Des logs hétérogènes
dans leur structure du fait de développements historiques
personnalisés. Et là, Paybox a constaté que «l’on pouvait
mettre en place facilement des expressions régulières
pour créer des alertes, voire des rapports répondant bien à
nos besoins ».
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
TÉMOIGNAGES
21
Des filtres spécifiques
Un projet rapide et vivant
C’est durant cette phase de test que LogRhythm a
développé les filtres d’analyse des logs spécifiques aux
applicatifs de Paybox et à ses pare-feu Arkoon et Netasq
[tous deux absorbés depuis par Cassidian CyberSecurity,
NDLR]. Un travail «rapide», précise LogRhythm,
soulignant que les filtres étaient disponibles et
opérationnels pour le déploiement.
Le dimensionnement
de la solution s’est fait sur la base d’un tableur Excel
renseigné par les équipes de Paybox avec les données
relatives à la volumétrie de logs sur chaque système,
chaque application et chaque équipement réseau de son
infrastructure. Au final, le spécialiste du paiement en
ligne utilise trois appliances regroupées dans un seul de
ses trois centres d’hébergement : la première assure la
collecte, la mise en forme et l’indexation des logs; la
seconde se charge de la corrélation avancée des
événements; et la troisième gère la production des alertes,
des rapports, des tableaux de bord, ainsi que la
configuration globale du SIEM.
L’ensemble du projet s’est déroulé très rapidement : après
une commande ferme adressée début 2013, le
déploiement a commencé au début du printemps. Des
agents spécifiques ont été installés «sur tous nos serveurs
et tous les équipements réseau. Ils transmettent les logs à
l’appliance de collecte. Et quand ils ne le peuvent pas, ils
stockent les données en local ». Ce délai très bref a même
permis à Paybox de s’appuyer sur les rapports du SIEM
de LogRhythm pour son audit PCI DSS, en juin dernier.
Pour l’heure, par sécurité, Paybox continue d’exploiter en
parallèle son système historique de gestion des logs et
son SIEM. Mais celui-ci ne pose pour autant pas de
problème.
Mieux
encore,
Paybox
envisageait
initialement de déployer en parallèle une solution de
surveillance de l’intégrité de fichiers (File Integrity
Monitoring, FIM). Là, un agent dédié, connecté au SIEM
de LogRhythm assure cette surveillance - «peut-être avec
des fonctionnalités moins avancées qu’une solution
dédiée mais cela répond à nos besoins.»
SÉCURITÉ : OÙ SONT LES PROJETS ?
TÉMOIGNAGES
PRÉSENTATION
CONTEXTE
Les rapports prédéfinis permettent en outre à Paybox de
disposer quotidiennement de rapports «type PCI DSS».
Et «maintenant que l’on a bien pris en main cet outil,
après déploiement de nos scripts historiques, on va plus
loin », explique Marc Thomas : «Nous travaillons avec
notre équipe de recherche et développement pour obtenir
des informations pertinentes et utiliser le SIEM afin de
produire des indicateurs de production.» —Valéry
Marchive
TÉMOIGNAGES
22
SÉCURITÉ : OÙ SONT LES PROJETS ?
AUTEUR
VALERY
MARCHIVE Ce spécialiste du poste de travail et des
problématiques liées à la mobilité et aux télécoms, a participé à de
nombreux titres de la presse informatique et généraliste dans
l’Hexagone, toujours avec le souci de décrypter les technologies.
Valéry est l’auteur de plusieurs ouvrages consacrés à Mac OS X.
Pour LeMagIT, il décortiquera l’évolution du poste de travail et les
enjeux de la convergence numérique.
Le document consulté provient du site www.lemagit.fr
Cyrille Chausson | Rédacteur en Chef
Valery Marchive | Journaliste
PRÉSENTATION
Linda Koury | Directeur Artistique
CONTEXTE
Neva Maniscalco | Designer
TÉMOIGNAGES
Mathilde Haslund | Assistante Marketing
[email protected]
TechTarget
22 rue Léon Jouhaux, 75010 Paris
www.techtarget.com
©2014 TechTarget Inc. Aucun des contenus ne peut être transmis ou reproduit quelle que soit la
forme sans l'autorisation écrite de l'éditeur. Les réimpressions de TechTarget sont disponibles à
travers The YGS Group.
TechTarget édite des publications pour les professionnels de l'IT. Plus de 100 sites qui proposent
un accès rapide à un stock important d'informations, de conseils, d'analyses concernant les
technologies, les produits et les process déterminants dans vos fonctions. Nos
événements réels et nos séminaires virtuels vous donnent accès à des commentaires et
recommandations neutres par des experts sur les problèmes et défis que vous rencontrez
quotidiennement. Notre communauté en ligne "IT Knowledge Exchange" (Echange de
connaissances IT) vous permet de partager des questionnements et informations de tous les jours
avec vos pairs et des experts du secteur.
23
SÉCURITÉ : OÙ SONT LES PROJETS ?