Sécurité, Réseaux et SI - Orange Business Services

Quels intérêts pour une entreprise d’en appeler à des prestataires de services informatiques certifiés sécurité ?

PCI-DSS tout le monde en parle. On peut être d'accord ou pas, le fait est que ce "standard" est largement mis en oeuvre outre atlantique.
Beaucoup de clients Français nous posent la question : on y va ou on y va pas ?

A force d’ajouter des équipements divers et variés pour assurer une sécurité plus ou moins bonne à posteriori, on oublie trop souvent que si la sécurité était embarquée à la base, c'est-à-dire dans le processus de développement des applicatifs le niveau global de sécurité serait largement plus haut !  Je me souviens d’un audit d’une application faite maison, suivi par la formation ou sensibilisation des équipes de développement de cette société, avait réussi à éliminer 80 % des failles habituelles pour une seconde application produite l’année suivante. C’est pourquoi j’approuve le principe que l’ISC2 annonce une certification pour les développeurs. Il faudra bien sure voir ce que cela donne, mais l’idée est très intéressante car prendre le problème à la source est toujours une bonne solution.

Comme vous le savez ou pas la « Direction Centrale de la Sécurité des Systèmes d'Information » (organisme d’État pour la sécurité des systèmes d'information), vient de nous attribuer une certification « Critères Communs ISO 15408» de niveau EAL 2+ sur notre offre EQUANT IPVPN.

Equant IPVPN est un service de mise en réseau de sites et d'utilisateurs à travers un réseau privé virtuel sécurisé basé sur la technologie IP VPN MPLS (Internet Protocol Virtual Private Network Multi-Protocol Label Switching). L'offre permet d'échanger des flux de données, de voix ou de vidéo.

Cette certification montre que nos choix organisationnel et technique assurent au service EQUANT IPVPN un niveau de sécurité satisfaisant.

Cette démarche/volonté de certification permettra d’augmenter (du moins je le suppose) le niveau de confiance de nos clients sur ce service.

C’est aussi un travail de long allène qui a monopolisé des ressources et je félicite tous ceux qui ont contribué activement à la réussite de ce projet, NIS en autre J

De manière rapide c’est quoi cette certification. La norme ISO 15408 : Common Criteria for Information Technology Evaluation, dite Critères Communs, est une norme qui définit les moyens de spécifier, développer et d’évaluer la sécurité de produits et de systèmes informatiques.

Son but est de vérifier l’efficacité des mesures de sécurité déployé sur le système à évaluer par rapport à un ensemble d’exigences (fonctionnel et d’assurance) exprimé par la norme.

Le développeur du système rédige une cible de sécurité et un ensemble de fourniture (ADV, AGD, ALC, ATE si quelqu’un veut des précisions il m’envoie un mail J) que l’évaluateur va analyser.

Une fois l’ensemble des documents écrit la phase active d’évaluation démarre.

· Dans un premier temps le laboratoire d’évaluation va analyser l’ensemble des documents et vérifier leurs conformités par rapport aux exigences de sécurité.

· Ensuite un audit sur site permet de contrôler l’existence réelle « des mesures » de sécurité (ce n’est pas le tout d’écrire de la doc il faut aussi prouver que tout est correctement mis en œuvre sur le terrain).

· Enfin des tests de vérification du comportement des fonctions de sécurité et d’intrusion sont réalisés in vivo sur le système.

Pour les « contraintes, pièges, limitation» de la norme attendez demain L

PS : Nous avions déjà obtenu cette certification en 2002 de niveau EAL1+, est nous avons décidé, en regard des exigences de nos clients, d’actualiser cette démarche.

L’ISO 27k définie un processus pour :

• Construire
• Gérer
• Entretenir

un Système de management de la sécurité de l’information SMSI. Ce système de management peut être un service, une entité logique, une entreprise,…..

La norme intègre entre autre la boucle d’amélioration via le cycle PDCA :

• Plan : organiser le SMSI
• Do : réaliser du SMSI
• Check : contrôler l’efficacité du SMSI
• Act : améliorer le SMSI

Ce cycle permet la réduction du niveau de risque du SMSI.

La suite au prochain épisode J

   Beaucoup connaissent Vilfredo Pareto, sociologue et économiste du 19ième siècle, au travers de la "règle des 80/20" dont il est à l'origine. Cette règle dit simplement que, pour de nombreux évènements, 80% des effets proviennent de 20% des causes. Certains ont essayé de l'appliquer à la sécurité et schématisent les items suivants :

• 80% des attaques sont dues pour 20% à des vulnérabilités connues,
• 80% des vulnérabilités découvertes sont issues pour 20% de la recherche,
• 80% des attaques virales sont imputables à 20% des codeurs de virus,
• etc.

  D'autres sont allés un peu plus loin et ont essayé de proposer une définition de la sécurité en transposant la théorie de l'efficacité de Pareto du monde économique au monde des systèmes d'information. Cette théorie peut également être utilisée pour optimiser le sécurité des "systèmes" pendant leur phase de conception.

   Pour aller plus loin, quelques définitions s'imposent :

Il n'est pas rare de lire dans la presse IT que tel ou tel cabinet spécialisé a pu, en quelques heures, mettre à mal la sécurité d'institutions de renom telles que le FBI, certaines banques... pour lesquelles la notion même de sécurité n'est pas étrangère et les certifications (Sarbanes-Oxley, PCI...) sont en place depuis plusieurs années. Cela veut-il dire que ces certifications n'offrent pas assez de garanties au niveau de la sécurité informatique?
Force est de constater que les gouvernements ont dû réduire le périmètre de la conformité afin que les coûts des certifications soient abordables pour les entreprises. Un des effets de bord est donc de survoler certains aspects de la sécurité dans le monde réel pour aboutir à une simple sécurité papier.

Aussi connu sous des termes comme SSO (Single Sign-On), le "saint Graal" qui voudrait que l'on puisse s'authentifier une seule et unique fois pour ensuite être reconnu automatiquement par un ensemble d'applications ou systèmes.

Malgré des initiatives comme celle de Microsoft PassPort, les Liberty Alliance ou de conglomérats divers et variés, on peut dire que la "sauce n'a pas pris" ou que le "soufflet est retombé"....

L'un des nouveaux venus est OpenID : Une technologie "ouverte" et n'ayant pas pour objectif d'accaparer la gestion des identités mais plutôt de normaliser les moyens d'interfaçage entre "consommateurs" (ie les sites ou applications) et les "fournisseurs/hébergeurs" (provider) d'identités.

Avec OpenID, choisir votre provider d'identité ne devrait pas poser trop de problèmes : D'un coté des acteurs comme  AOL, Google, IBM, Microsoft, Orange, Verisign ou encore Yahoo!. De l'autre : Vous-même depuis votre site web personnel ou celui de votre entreprise.

Les mécanismes de délégation disponibles sont eux aussi très intéressants car permettent de vous garantir simultanément stabilité et liberté. Pour les technophiles, OpenID s'appuie sur le très célèbre protocole HTTP.

Effectivement, avec OpenID, il n'y a pas de "grand gardien des clefs tout puissant" et c'est une très bonne chose lorsque l'on parle de gestion des identités. Pour en savoir plus : Un article du JDNet , la page de tags Technorati, OpenID ou encore LifeWiki, OpenID pour les plus courageux.

Il y a peu, une faille de sécurité jugée importante, touchant l'ensemble des versions d'OpenSSL disponibles depuis la 0.9.8c-1, soit septembre 2006, a été divulguée. Cette actualité relance les débats autours de la sécurité des logiciels OpenSource.
Si l'ouverture du code à la communauté permet sa relecture par un grand nombre d'individus, la quantité de relecteurs peut varier en fonction de la notoriété du projet. Il faut en outre pouvoir allier des compétences tant au niveau du langage de programmation utilisé qu'au niveau du domaine d'application du logiciel relu  (cryptographie, réseau, ...) afin d'obtenir une relecture efficace.
De plus, les logiciels OpenSource sont écrits en mode collaboratif la pluspart du temps, ce qui rend leur lecture plus complexe que celle des logiciels industriels soumis à des standards de programmation beaucoup plus drastiques en terme de formalisme, structuration...
Rappelons que la décourverte d'une faille par un individu ne lui impose pas plus d'en informer la communauté dans un contexte OpenSource que dans un autre contexte. Une telle faille, bien que détectée, ne sera pas corrigée et pourra continuer d'être exploitée.
Ainsi, le label "OpenSource" ne devrait en aucun cas être lu comme synonyme de code sécurisé. Code propriétaire ou non, la meilleure des assurances ne résiderait-elle pas dans les projets de "certification"? On peut alors mieux estimer les ressources allouées à la relecture de code ainsi que la cible de sécurité retenue. Début 2008, le rapport du projet OSH (Open Source Hardening Project) Coverity_White_Paper-Scan_Open_Source_Report_2008.pdf mettait en avant 11 projets OpenSource presque exempts de faille de sécurité. Ce projet a été lancé en mars 2006 par le département américain de la sécurité intérieure pour un budget initial de 300 000 dollars et confié à l'Université de Stanford et à la société Coverity. Cette étude de près de 10 milliards de lignes de code a ainsi mis en avant des tendances en terme d'erreurs les plus courantes ex: Déréférencement du pointeur NULL à 28%.

Aujourd'hui il existe au moins 4 certifications sécurité possible, petit tour d'horizon et commentaire.
Certification ISO-27001 : s’affirme de plus en plus comme une certification incontournable sur les marchés internationaux. Elle à l’avantage de mettre en place un suivi dans le temps de l’évolution du système de management certifié.

Certification IS0-15408 : La référence en matière de certification de produit et de service. Cette norme reste tout de même l’apanage de grande société car elle demande un investissement humain et financier important.

Certification CSPN : Nouvelle certification qui semble intéressante car light en terme de cout humain et financier. Elle reste tout de même spécifique au territoire Français et à son état.

Certification ISO 20K : même si elle n'est pas spécifique à la sécurité les chapitres 6.6 consacré à la gestion de la sécurité de l'information et le chapitre 8.8 gestion des incidents traite de ce sujet. Peut être une bonne entrée en matière, voir à conduire en parallèle d’une certification l’ISO 27001.