Sécurité, Réseaux et SI - Orange Business Services

Il n'est pas rare de lire dans la presse IT que tel ou tel cabinet spécialisé a pu, en quelques heures, mettre à mal la sécurité d'institutions de renom telles que le FBI, certaines banques... pour lesquelles la notion même de sécurité n'est pas étrangère et les certifications (Sarbanes-Oxley, PCI...) sont en place depuis plusieurs années. Cela veut-il dire que ces certifications n'offrent pas assez de garanties au niveau de la sécurité informatique?
Force est de constater que les gouvernements ont dû réduire le périmètre de la conformité afin que les coûts des certifications soient abordables pour les entreprises. Un des effets de bord est donc de survoler certains aspects de la sécurité dans le monde réel pour aboutir à une simple sécurité papier.

Nous avons l'habitude de dire que le SI des entreprises s'est complexifié au fil des ans, que ce soit vers l'interne avec l'ajout de nouvelles DMZ, de liens pour les sauvegardes, d' accès nomades... ou vers l'externe avec l'ouverture de tout ou partie du SI aux divers partenaires, fournisseurs et même consommateurs.

Cette complexité est à elle seule un facteur de risque pour l'entreprise. Mais cette ouverture vers l'extérieur en est un autre. Un rapport de la société Verizon permet de mieux appréhender ce fait. Le rapport est fondé sur les données collectées dans plus de 500 cas, traités par Verizon entre 2004 et 2007.

La société Blue Cross, basée à Northeast Pennsylvania lance un programme permettant à ses utilisateurs de consulter leur données personnelles de santé depuis leur téléphone mobile.

Attention il ne s'agit pas là de pouvoir accéder à ses radiographies, scanners... mais plutôt aux différentes prescriptions, allergies, etc qu'il peut être utile de pouvoir compulser lorsque l'on est amené à consulter différents médecins.

L'application est gratuite pour les membres et a jusqu'ici été mise en œuvre auprès de moins de 10% des 600 000 personnes inscrites chez l'assureur. Il semble donc pour le moment que les premiers à avoir adopté le service soient dans la tranche des technophiles, mais la question de la protection des données personnelles reste entière.

Une année de plus, le SSTIC comme chaque année a fait amphi comble. Pour avoir une bonne vision de l’ensemble de cet événement il faut mieux lire les nombreux comptes-rendus disponibles un peu partout  (SSTIC 08 - Presse) Pour ma part j’ai été un peu déçu, j’ai ressenti une certaine frilosité : pas d’article sur des sujets détonants (et pourtant il n’en manque pas !!!), peu d’humour (ou en off), et certains auteurs devraient lire les actes des années précédentes pour éviter une redite sur des sujets déjà largement balayés au cours du temps.

Seul vrai info : c’était mieux avant !

Vu de l’extérieur, la sécurité peut apparaître comme une secte avec son langage propre, ses us et coutumes, etc … En fait, c’en est une, et je suis un de ses grands maîtres auto-proclamé. Le but de cette rubrique est de vous apprendre, vous jeunes disciples, les arcanes et les normes qui régissent cette secte. J’attends de vous une totale obéissance pendant l’enseignement. Votre formation sera courte, d’environ 10 ans, après vous aurez le status d’apprenti, puis après 5 ans, vous pourrez prétendre au titre de membre. Et si vous êtes exceptionnels 10 ans après, vous pourrez peut être, postuler pour le titre suprême.

Commençons votre formation aujourd’hui par PCI DSS, tout le monde en parle, on peut même parler d’un vrai « buzz ».

PCI DSS veut dire Payment Card Industry Data Security Standard. Comme son nom l’indique, ce recueil de bonnes pratiques est soutenu par American Express, Visa, Mastercard. Ce sont des résolutions relativement pragmatiques même si pour la plupart des entreprises, il sera difficile de les mettre en œuvre à 100%.

PCI DSS consiste en 12 chantiers :

Votre DSI ou DG vient juste de sortir de votre bureau et vous avez le sourire. Comment cela se fait-il ?

Simplement qu'il vient de comprendre personnellement le problème du Phishing : Son fils Eric, Ebayeur patenté vient de se retrouver l'heureux acquéreur de cartes postales très onéreuses dont il ne verra jamais la couleur... Que c'est-il passé ? Ce jeune homme fait malheureusement partie des victimes de la dernière attaque de phishing visant les comptes Paypal.

Parmi les solutions que vous lui proposez, on retrouve celle d'activer le système de filtrage anti-phing intégré au navigateur Internet (IE, Firefox, ...). Vous en profitez pour lui glisser à l'oreille que c'est un risque qu'il faudrait aussi intégrer dans la stratégie de sécurité du parc bureautique.... Et là, mystère cosmique aidant, il vous demande de monter un dossier d'opportunité sur le sujet pour le prochain comité de revue projets.

Revenons un peu en arriere, Annee 80 la mode est à la qualité ! Après avoir essuyé de nombreux échecs à l'exportation le Japon enfourche le cheval de la qualité pour démontrer que ses produits sont sans défaut. Et pourtant la "démarche qualité" est une invention frnçaise des années 50 . Mais cela ne donne pas beaucoup de résultat sur le vieux continent.

KAIZEN !!!

Non ? Et pourtant vous devriez ... Car avant de mettre en place des outils très sophistiqués pour tracker les failles ou les intrusions, votre SI exprime déja spontanément un certain certain nombre de signaux qui devrait être écouté. Comme le médecin, avant de lancer des examens coûteux (scanner, analyse, etc), l'écoute du patient est un art qui révèle déja beaucoup d'information sur la maladie...

La défense périmétrique est morte ! Vive la défense périmétrique !

Si vous voulez être tendance dans les cocktails de la sécurité dites d’un air de celui qui sait « La défense périmétrique est morte et enterrée ».

Argumentez à coup de :
« Les firewall ne sont pas gérés et ils ne font qu’entraver les échanges et ralentir le business»
« Les anti-virus sont débordés par tous les vers et virus qui naissent chaque jour »
« Le filtrage des malveillants à l’entrée du réseau de l’entreprise est illusoire »

Et si vous manquez d’arguments, alors lisez la prose du dernier Think Tank à la mode dans le monde de la sécurité : le Jericho Forum (http://www.opengroup.org/jericho/)

Mais alors que faire ?

Question etrange que de prendre la température de la sécurité ? Et pourtant, "tout ce qui ne se mesure pas... n'existe pas " parait il... Donc en suivant ce principe, tout responsable sécurité devrait pouvoir exhiber quelques éléments de mesure du niveau de sécurité de son entreprise. Apres tout, les responsables qualité affichent leur "taux de rebus" ou le nombre de pièces en retour SAV, le responsable contentieux, le taux de litiges ou le responsable service client , le taux de resolution des problèmes. Et le Rssi ? C'est peut etre la une des dimensions du problème : sans indicateur, même très élèmentaire, difficile d'évoluer la situation (hormis après le sinistre...), de se fixer des objectifs, de communiquer et... de négocier des investissements.

Alors pour ou commencer ? Peut etre par le plus simple : un note de 1 à 10 (comme a l'école, comme cela tout le monde comprend), qui apprécie les différents domaines de la sécurité (point trop n'en faut) : les postes, les reseaux, les applications , les sites... en prennant soin d'actualiser la publication de ces mesures (l'effet répétition) afin d'habituer et de faire réagir... Apres cette premiere phase, il est possible de sophistiquer les choses (intégrité, confidentialité, etc) et de les relier à des mesures physiques (ex. taux de spam, taux de consommation illicite de la bande passante réseau, etc).

Je vous proposerai ensuite d'approffondir le sujet sur l'automatisation et la gestion de ces résultats. A Lire le rapport du Clusif qui propose une démarche à adapter a votre contexte