Accueil Business La sécurité depuis les Clouds au menu des Assises de la Sécurité...

La sécurité depuis les Clouds au menu des Assises de la Sécurité 2015

Les Assises de la Sécurité qui se déroulent chaque année à Monaco sont l’occasion de faire le point sur l’évolution de la sécurité chez les grands comptes français ou, du moins, de voir ce qu’on leur propose.

L’année dernière, on attendait la loi de programmation militaire (La LPM de novembre) qui oblige les OIV (organismes d’importances vitales) à répondre aux contingences de la sécurité – deux cents environ étaient concernés pour la France. En particulier, le fait de mieux protéger les données stratégiques en les chiffrant et en organisant par exemple à échéance des tests d’intrusion pour éviter que l’on accède aux ressources de l’entreprise. Ces précautions jadis réservées aux membres du CAC 40, aux banques et aux institutions financières ont insufflé un nouveau courant dans le secteur de la sécurité.

Administrer la sécurité depuis les Clouds

Sur les 120 conférences qui ont animées le parcours des visiteurs des Assises, on a pu remarquer la part croissante des outils pour administrer la sécurité depuis les Clouds. Un choix qui nécessite une claire définition des tenants et aboutissants sur les choix d’hébergeurs, et une formation importante. L’expert auprès des tribunaux Hervé Schauer, dont le cabinet spécialisé appartient désormais à Deloitte, nous précisait. « Toutes les applications et les données stratégiques doivent être traités en France, car sinon on se retrouve dans la législation, souvent américaine, et la NSA n’a même pas besoin de se justifier pour regarder vos données. De plus en plus, la sécurité répond à des besoins de conformités et des lois contraignantes. La sécurité des OIV en est un exemple frappant ». Interrogé sur les risques d’agression par les terroristes de sites stratégiques, celui-ci précisait. « C’est possible, mais peu probable, les motifs financiers sont encore beaucoup plus forts que les motifs politiques ou idéologiques. Par exemple en Allemagne, un haut fourneau qui servait à a fabrication de l’acier a été mis en panne à distance par des malfrats, l’entreprise menacée n’ayant pas voulu répondre à la demande de rançons. C’est une affaire qui a été révélée par les services de sécurité allemands près d’un an après. » Des histoires comme celle-là, il y en a aussi en France. Le directeur de L’Anssi (Agence Nationale de la Sécurité des Systèmes d’information), Guillaume Poupart, a même précisé lors de l’ouverture des assises qu’il n’en parlerait pas « même sous la torture ». Eugene Kaspersky, le chairman de la firme de logiciels qui porte son nom, invité aussi lors d’une ouverture de session plénière, a rappelé pour sa part l’arrêt total, à la suite d’une menace de pirates, du premier pétrolier mondial Aramco pendant deux jours complets, sans que l’on ait pu faire quoi que ce soit.

Hervé Schauer

“De plus en plus, la sécurité répond à des besoins de conformités et des lois contraignantes”, Hervé Schauer, directeur général de HSC by Deloitte

 

L’Internet des Objets

Du point de logiciels, l’évolution prend en compte les différentes tendances actuelles et en particulier l’Internet des Objets qui à défaut d’être une cible stratégique très rentable pou les voleurs peut devenir une rampe de lancement pour diffuser de malwares. « Avec X milliards d’objets connectés, on aura du mal à suivre », précise Robinson Delaugerre, un consultant sécurité de l’opérateur international Verizon qui étudie les tendances du marché. « Prenez l’exemple des réfrigérateurs connectés, a priori, cela peut paraître anodin, mais certains modèles disposent d’un système de paiement électronique à base de bitcoins (la monnaie virtuelle) pour automatiser les commandes chez le distributeur qui assurent les livraisons. À peine les systèmes on-t-il été mis en service aux USA qu’ils ont été piratés par un défaut, une faille du système de paiement Bitcoin. Du coup, les premiers milliers d’appareils ont vu leurs portefeuilles électroniques vidés. Heureusement pour les victimes, les sommes étaient peu importantes, mais pour les voleurs, la somme totale de la collecte générale dépassait les 10 000 dollars. Cela risque de se reproduire pour pas mal d’appareils automatiques qui contiennent de l’argent. »

La virtualisation des réseaux

Du côté des pare-feu, on a vu la plateforme réseau NSX de VMware plusieurs fois citée. Les logiciels pare-feu, désormais sous forme de programmes virtuels, peuvent être facilement « poussés » via le réseau vers le ou les serveurs visés. Au départ, il n’y avait que Palo Alto et Checkpoint, les leaders de ce segment, mais désormais Trend Micro et Juniper proposent d’associer leurs logiciels à la plateforme VMware. Chez Juniper, on s’appuie non seulement sur des solutions virtuelles, mais aussi sur des combinaisons associant les réseaux existants avec l’internet.

Le Machine Learning

Pour analyser les différents contenus qui arrivent à la volée dans les serveurs ou simplement les traces des opérations, on a vu apparaître de nombreuses applications de Big data. Cette année, les plus récentes annonces concernaient une évolution dans ce domaine, la Machine Learning une forme évoluée de l’analyse comportementale. Microsoft en avait fait un argument de vente pour la base de donnée SQL Server. Cela simplifie la recherche des menaces persistantes (Advanced Persistent Threat – APT) et permet d’identifier les opérations d’espionnage et vol de données. L’une des plus connues s’appelle Splunk qui disposait de connecteurs pour associer des centaines de logiciels à de programmes du marché. Avec le rachat de la startup Caspida, elle paraît en avance Pour Splunk, le modèle de Machine Learning, comme son nom l’indique, va apprendre durant l’activité des applications leurs habitudes protocolaires et sera capable d’alerter l’administrateur lorsqu’il détectera un comportement anormal. En France, on dispose aussi avec la firme Sentryo d’une équipe spécialisée dans ce domaine. Présent, l’anglais Darktrace qui propose des solutions de filtrage en temps réel. Pas facile de différencier cette évolution de celle de l’analyse comportementale.

Enfin, et cela finit par apparaître comme une tarte à la crème, tout le monde proposait des solutions pour sécuriser le Cloud. Même le directeur de l’ANSSI Guillaume Poupard, proposait le Cloud comme une solution de sécurité économique : « Le Cloud répond à un vrai besoin en matière de sécurité informatique. C’est le sens de l’histoire et notamment pour les PME et les petites structures qui ne disposeront jamais d’expert en cybersécurité à plein temps. Il faut encore élever le niveau de sécurité de certaines solutions. C’est pour cela que l’ANSSI pousse un référentiel Cloud pour faciliter le choix d’un prestataire de confiance qui garantit la localisation et un bon niveau la protection de leurs données ». Pour le projet des Clouds de confiance, l’ANSSI pousse à de bonnes pratiques et des certifications dans tous les domaines, à tel point que l’on se demande si les entreprises vont pouvoir faire autre chose que se protéger.

  "Le Cloud répond à un vrai besoin en matière de sécurité informatique", Guillaume Poupard, directeur de l’ANSSI

“Le Cloud répond à un vrai besoin en matière de sécurité informatique”, Guillaume Poupard, directeur de l’ANSSI

Dans le cas du Cloud sécurisé et des logiciels y afférents, on retrouve partout les mêmes discours : « Les données sont chiffrées et stockées sur les serveurs distants, mais aussi quand elles transitent sur les réseaux. » Des solutions existent chez à peu près tous les fournisseurs de logiciels et les hébergeurs (Numergy, Orange BS), mais les services Cloud tardent à décoller en France . Ils ne seraient que de 11 % contre 19 % en Europe, selon l’étude de décembre 2014 du bureau d’étude Eurostat. Interrogé sur cette apparente réticence, Hervé Schauer résume : « Cela n’a rien d’étonnant, c’est du bon sens, les entreprises françaises hésitent à stocker leurs données principales à l’extérieur, car la législation est récente et les certifications ne sont pas en place. »

 

Auteur : Thierry Outrebon