En s’ouvrant à l’extérieur, au Cloud et à l’innovation numérique, le système d’information doit suivre une stratégie de traçabilité et de cyber-défense. Les décideurs IT que nous avons interviewés aux dernières Assises de la Sécurité le confirment : il faut passer des protections ponctuelles à une défense générale..
La mise en œuvre de contre-mesures touche, tour à tour, chaque couche applicative. C’est la raison pour laquelle ce dossier vérifie successivement les moyens de protection de la messagerie électronique, des serveurs aux données privées susceptibles d’être rançonnées, puis des caméras et d’autres objets connectés dont les mécanismes de mise à jour s’avèrent, eux-aussi, vulnérables. La sécurité des infrastructures industrielles et des sites d’importance vitale fait l’objet d’une vigilance spécifique et de recommandations de l’ANSSI qui gagnent progressivement les ETI et les PME/PMI. Les attaques ciblées de type APT n’ont pas fini de provoquer des nuits blanches aux administrateurs. Enfin, l’introspection du système d’informations serait incomplète sans un examen soigné des fuites de données provenant de l’intérieur même du réseau.
A tout seigneur, tout honneur. Ce bilan des Assises 2016 donne la parole aux DSI et aux décideurs chargés de la sécurité des données. Tantôt experts en infrastructures, tantôt gestionnaires des risques, ils confirment l’avalanche de malveillances menaçant les datacenters, les réseaux d’agences, et jusqu’aux sites industriels. Avec l’exposition croissante des données et des applications à l’extérieur, l’enjeu devient la résilience du système d’information et de production, c’est-à-dire la capacité de l’entreprise à poursuivre ses échanges vitaux et à maintenir sa productivité, en cas de cyber-attaque.
Les banques soignent l’authentification des prestataires
Les hackers ciblent des transactions financières avant tout. D’où une protection conséquente des accès aux serveurs du secteur bancaire.
Dans cet univers périlleux, les services Cloud sont considérés comme salutaires ou suicidaires. Ils restent envisageables, mais seulement après une analyse des risques très stricte. Au final, on retrouve des solutions sur étagère, développements internes et logiciels en mode SaaS qui doivent cohabiter harmonieusement.
- Le comité de convergence applicative du Crédit Agricole a ainsi validé le service de partage et de synchronisation de fichiers d’Oodrive, en passe d’être généralisé. “On doit permettre aux métiers de prendre des risques en toute connaissance de cause. Et pour accompagner la transformation digitale, on doit être en capacité d’orienter les métiers, devenir une force de propositions”, suggère Philippe Gauthier, le responsable de la relation métier SSI du Crédit Agricole.
Pas moins de soixante CISO (Chief Information Security Officers) épaulent l’ensemble des métiers du groupe français. Selon la sensibilité de ses données et le niveau de disponibilité souhaité, chaque projet est aiguillé vers une solution externalisée ou vers l’un des datacenters Tier 4 du Crédit Agricole. Parmi les briques de sécurité retenues, le logiciel du Lyonnais Prim’X chiffre les fichiers sensibles et le portail de Brainwave assure le suivi des accès et des habilitations : “Lors du rapprochement de sociétés, il s’agit d’accorder l’authentification des prestataires externes et de tous les collaborateurs. C’est un processus d’amélioration continue”, illustre-t-il. - Avec des moyens de sécurité conséquents et son propre CERT (centre d’alerte et de réaction aux attaques informatiques), la Banque de France fédère les identités avec Oracle et expérimente la blockchain avec plusieurs partenaires financiers.
“Notre stratégie actuelle consiste à disposer de nos données numériques dans nos deux datacenters et à offrir un site de secours aux banques centrales d’autres pays Européens. Mais, avant d’ouvrir le moindre service vers l’extérieur, nous segmentons les réseaux et contrôlons les trafics est-ouest (entre serveurs) du datacenter”, souligne Tanguy Deflandre, le responsable du service infrastructure de la Banque de France. Dans cette perspective, l’établissement de la rue de Valois déploie la virtualisation de réseau NSX de VMware. - Pour mettre en place un suivi des événements et des incidents de sécurité (SIEM), la Casden Banque Populaire, filiale du groupe BPCE, interface ses outils de sécurité. Les alertes de sécurité sont regroupées afin de bâtir des tableaux de bord ; ils sont destinés à la direction générale ou, plus détaillés, aux exploitants informatiques. Avec la gestion de comptes à privilèges du Français Wallix, la résolution des incidents gagne en efficacité : “Il s’agit de sensibiliser les utilisateurs, les administrateurs et les prestataires, plutôt qu’être dans la répression. Sans confiance, on ne fera pas de business”, souligne Benoît Fuzeau, le RSSI de la Casden Banque Populaire. Les objets connectés à Internet, le Cloud et les services SaaS, devenus incontournables, rendent les échanges entre RSSI essentiels. “Comme dans un aéroport, nous devons délimiter des zones de confiance et des zones grand public. Il faut qu’on s’ouvre et qu’on donne de la visibilité aux métiers.”
Les industriels protègent leurs parcs IT/OT
- “On a trop tendance à partir de l’outil. Or c’est la fonction qui est importante”, souligne Fabrice Laboulandine, le directeur des opérations IT du groupe Daher.
L’approche DevOps raccourcit les délais entre les versions successives d’applications à déployer. Avec des compétences bien réparties, cette initiative améliore la productivité informatique et offre des gains constatés de 30 % à 40 % en matière de livraisons. Il n’en demeure pas moins que les systèmes industriels et IT doivent être protégés conformément à la loi de programmation militaire. Tandis que l’unification du bureau de travail est en cours, sous l’environnement Windows 10, dans le cadre du projet D4D (Digital for Daher), des experts tels Nomios, Varonis et Algosec aident l’industriel à aligner la sécurité de ses systèmes aux risques propres à chaque activité. - Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) recommande la chasse aux vulnérabilités auprès de plus de 200 membres dorénavant. Son vice-président Olivier Ligneul, le CTO et RSSI d’EDF, encourage ainsi les programmes “bug bounty”, récompensant les défricheurs de brèches applicatives. “Parmi les sujets en émergence, les technologies de la blockchain vont dans le sens de la confiance commune. Elles figent dans un grand registre une traçabilité et peuvent contribuer à prouver et à auditer des actions industrielles que l’on a faites, ou des transactions financières, sans exiger d’intermédiaire.”
Le directeur technique d’EDF perçoit un besoin : ne pas reproduire les erreurs du passé lorsqu’on s’engage sur de nouvelles pistes techniques pertubatrices, comme la BlockChain ou encore l’approche DevOps. Ainsi, selon lui, la livraison continue des logiciels doit maintenir des temps de vérification et de qualification des codes informatiques.
L’infrastructure dynamique sert les flux à la demande
- La chaîne cryptée gère 19 millions de comptes pour ses abonnés, prospects ou clients MyCanal, CanalPlay et abonnés aux set-top box Internet des partenaires. L’inscription, l’authentification et les consommations vidéo sont agrégées via un unique compte numérique.
“Le projet Pass permet l’authentification et l’inscription des abonnés et prospects sur l’ensemble de nos sites Internet et de nos applications (pour mobiles IOS & Android) y compris MyCanal, l’application qui unifie nos contenus diffusés en direct et à la demande. Les pics de trafics, au début d’un match de football, atteignent 1000 requêtes par seconde”, précise Arnaud Droit, chef de projet Web à Canal+. La solution Sign & Go d’Ilex, en respectant le protocole standard oAuth2, facilite l’accueil d’abonnés tiers, venus d’opérateurs Orange ou Free par exemple. Ces derniers peuvent bénéficier de services et de contenus audiovisuels, sans changer leur habitude d’authentification. - L’opérateur de services Ergatel bâtit depuis 2014 une infrastructure opérée, offrant des services de sécurité et des communications unifiées aux collectivités et clients multi-sites de la région Nord.
“A l’ère du Cloud, nos offres doivent garantir une protection contre les attaques DDoS fréquentes en ce moment”, confirme Sébastien Serra, le directeur des opérations d’Ergatel. L’approche SDN/NFV est en cours de déploiement avec les équipementiers Juniper Networks et RAD. Elle permet d’offrir davantage d’agilité aux réseaux, de couvrir des besoins d’uniformisation et de protection des accès et des échanges de données sensibles. - Pour sa part, IMS Networks – opérateur de transit IP, hébergeur et infogérant – construit sa dorsale réseau SDN avec Huawei. Il peut délivrer de nouveaux services à la demande et suivre, depuis Castres, l’évolution des malwares, pour mieux protéger les interconnexions de ses clients.
Face aux attaques DDoS, il retient la solution du Français 6cure : “La cybersécurité est une activité chronophage qui exige des compétences rares. C’est pourquoi nos clients font appel à nous”, signale Mathieu Rigotto, le directeur du Pôle Cybersécurité d’IMS Networks.
L’ANSSI accueille les géants du Web
Amazon et Microsoft veulent bâtir de nouveaux datacenters sur l’Hexagone. C’est une opportunité, estime Yves Verhoeven, le sous-directeur de l’ANSSI : “L’arrivée de grands acteurs du Cloud en France, des acteurs dont la compétence n’est pas à discuter, est une très bonne nouvelle pour nous. C’est quelque chose d’intelligent et cela marque certainement le début d’un véritable partenariat. En matière de protection et de souveraineté des données, nous pensons que la localisation des données est un sujet pertinent. Nous souhaitons surtout avoir des prestataires compétents en France.”
Créée en 2009, l’ANSSI compte déjà près de 500 agents pour sensibiliser nos décideurs à la cybersécurité. Les compétences ad hoc sont placées au plus près des collectivités de l’Etat, de leurs partenaires, des OIV et progressivement des ETI et des PME. La PSSI (politique de sécurité des systèmes d’information de l’Etat) pourra prescrire de bonnes pratiques d’externalisation ou de chiffrement aux services gouvernementaux. Déjà, une vingtaine de prestataires d’audit de sécurité sont certifiés, dans une dynamique qui doit s’étendre à la détection et à la réponse aux incidents. “La transformation numérique est en train de s’opérer. Elle ne peut se faire que dans un cadre où l’on obtient la confiance de l’ensemble des acteurs et cela nécessite de prendre en compte la cybersécurité. C’est l’affaire de tous les acteurs de l’écosystème, les OIV, les agences territoriales et aussi les PME”, souligne le sous-directeur en charge de la coordination de l’ANSSI.
Palo Alto Networks veut casser le modèle économique des pirates
“Seulement 7% des cadres dirigeants des grandes entreprises françaises retiennent les risques de cybersécurité comme une priorité. La prise de conscience reste très faible, en dépit de risques forts, financiers et de notoriété”, souligne Raphaël Bousquet, le vice-président EMEA sud de Palo Alto Networks. Il présentait aux Assises de la sécurité 2016, un guide pratique et pédagogique, conçu pour sensibiliser les comités de direction. Ses auteurs ? Des professionnels de l’IT, RSSI de diverses branches, avocats et experts en cyberdéfense. Son titre : “Gouverner à l’ère du numérique”, réalisé en collaboration avec Solutions IT.
“Les attaquants utilisent des systèmes automatisés, du machine learning. La défense doit s’adapter. Au sein de l’alliance CyberThreat, nous créons une connaissance globale autour des cybermenaces pour mieux s’en prémunir. On cherche à casser leur modèle économique”, explique Arnaud Kopp, stratège de Palo Alto Networks.
Siemens se focalise sur la supervision des réseaux industriels
Après l’évangélisation des OIV, celle des sous-traitants, des ETI et PMI de la santé, des transports, du bâtiment, de l’énergie et des datacenters est à l’ordre du jour chez Siemens. “Notre objectif consiste à fournir des briques sécurisées pour augmenter le niveau de sécurité des industriels dans leur globalité”, explique Jean-Christophe Mathieu, Product and Solution Security Officer chez Siemens France. En préparation pour l’an prochain, une architecture globale doit assurer la supervision métier ainsi que la protection d’automates programmables et de commutateurs industriels.
@ Pour en savoir plus, consultez nos interviews vidéo exclusives réalisées à l’occasion des Assises de la Sécurité 2016 :