La protection du réseau d'entreprise pour empêcher l'intrusion, ou la contamination, via les mobiles, nécessite des mesures drastiques. De retour des Assises de la Sécurité à Monaco, la rédaction du magazine fait le point sur les grandes tendances du moment.
Check Point a publié début octobre, son deuxième rapport sur la sécurité mobile, une étude sur plus de 800 entreprises dans le monde entier. Elle montre que des incidents de sécurité liés aux équipements mobiles se sont multipliés dans la majorité des entreprises (79%) l'an passé, et que leurs coûts sont considérables. Ces incidents, si on les valorise en tant qu'opérations et ventes perdues, se chiffrent à près de 100 000 ? pour 42% des entreprises, voire à plus de 400 000 ? pour 16% d'entre elles. La tendance consistant à utiliser des appareils personnels, soit des smartphones ou des tablettes (cf BYOD, le fameux Bring Your Own Device), a considérablement augmenté le nombre d'incidents de sécurité et ceux-ci s'avèrent de plus en plus coûteux. Les données des entreprises, y compris les données confidentielles relatives aux clients, ont tendance à être de plus en plus stockées sur des appareils mobiles personnels et échappent à tout contrôle des services informatiques.
Pour Thierry Karsenti, Directeur Technique Europe de Check Point, l'accent doit être mis sur l'identification, l'isolement et le chiffrement des données d'entreprise, où qu'elles se trouvent. De cette façon, même si un utilisateur bien intentionné copie des données d'entreprise sur son appareil, ou y accède via email ou une autre application, elles restent protégées contre les pertes. Mieux encore, le processus de sécurisation des données peut être automatisé dans un cadre de politique de sécurité interne afin qu'elles soient protégées en toute circonstance ; En particulier, cela se justifie dans le cas de copie de fichiers sur un appareil mobile, de diffusion de fichiers par email. «Moins les utilisateurs sont conscients de la solution de sécurité, précise Check Point – les produits de nouvelle génération sont très discrets – moins cela interfèrerait avec leurs activités, et plus leurs données sont sécurisées.» Si la sécurité périmétrique doit évoluer pour intégrer les données, les méthodes de base restent globalement celles que l'on pratiquait pour les PC portables.
Les pare-feu de nouvelle génération ne sont pas un luxe
C'est l'arrivée de nouveaux pare-feu qui permet d'envisager l'avenir avec plus de sérénité. Ces logiciels évolués, intégrés dans les nouveaux points d'accès Wifi, Wan, etc., s'ils ne paraissent pas se différencier beaucoup de leurs prédécesseurs, filtrent pourtant plus vite des flux de plus en plus intenses. Cette évolution des processeurs et l'optimisation du code justifient à elles seules le remplacement des équipements de plus de trois ans, les prix des nouveaux boîtiers ayant, en plus, fondu d'au moins 30 % à puissance égale en moins de deux ans.
Un choix lié aux applications et trafic prévisible
Le choix du type de matériel qui intègre à la fois pare-feu, VPN, système de prévention d'intrusions, antivirus, anti spam, contrôle des applications et filtrage des URL, tient essentiellement à une évaluation du trafic prévisible. C'est ce que propose, pour démarrer, nombre d'intégrateurs ou opérateurs comme OBS (Orange Business Service) qui y ajoutent aussi le recensement des équipements, l'analyse des fichiers, la hiérarchisation des transactions. Le nombre de communications, le type d'applications, la méthode d'administration en local ou à distance, conditionnent aussi la sélection du pare feu idéal, qui ne doit pas être forcément différent sur tous les raccordements au net, si l'on veut que l'administrateur se souvienne des outils de surveillance, la centralisation des alertes étant aussi plus simple. Sur le boîtier 600 de Check Point par exemple, le logiciel de pare-feu de nouvelle génération et de prévention des menaces est identique à celui que la firme propose sur ses systèmes les plus puissants. Le débit permis serait de 1,5 Gbits/s selon les données constructeur. Mais le débit réel dépendra en fait des règles de sécurité mises en place et des protocoles utilisés : plus les filtrages seront efficaces, plus les débits seront réduits. Il arrive souvent d'ailleurs que pour donner de meilleurs temps de réponse on «desserre le frein de la sécurité», un risque qui ne devrait pas être pris si le firewall choisi était optimisé. C'est un peu l'intérêt de solutions «managées» c'est-à-dire administrées à distance par des intégrateurs ou des opérateurs qui hébergent des solutions sécurisées. Ils sont capables d'administrer des flux de volumes variables sans forcément faire payer selon le trafic maximal. Tous les grands opérateurs proposent désormais soit des solutions d'hébergement soit une forme d'ombrelle pour filtrer le trafic vers l'internet. Pour les entreprises présentes sur différents sites, le choix de lignes privées reste la solution idéale mais aussi la plus coûteuse. Pour lutter contre les différentes attaques, tous les constructeurs maintiennent des bases de données où les différents types d'attaques sont relevés et contrecarrés.
Quel avenir pour les équipements de sécurité ?
Présent aux assises de la sécurité début Octobre, Ken Xie, fondateur de Netscreen et Fortinet, a mis l'accent sur les nécessaires transformations à envisager pour la sécurité d'entreprise. Face à l'évolution de l'Internet, au transfert de ressources vers le Cloud, et à la croissance de la mobilité d'entreprise, il préconise de nouvelles armes hébergées et entièrement virtuelles, aptes à être mises à jour en permanence et surtout à ne pas elles- mêmes être mises hors service, une spécificité des réseaux actuels. La firme annonçait que NEC allait intégrer le firewall Fortinet 1000 dans une version portable ; MasterScope Virtual Datacenters Automation serait la première plateforme logicielle Cloud à utiliser le SDN (software-defined networking), En virtualisant les réseaux, le SDN simplifie et automatise les opérations sur les cloud.
Les mobiles, les maillons faibles de la chaîne d'information
Si les sites en local ou dans le Cloud peuvent donc être protégés sur les ports ouverts à l'internet par tous les routeurs de dernières générations il n'en demeure pas moins que les mobiles sont les points noirs du réseau. La politique interne doit les traiter comme n'importe quel PC du réseau, quel que soit leur mode de raccordement. Ils doivent être enregistrés dans les systèmes de contrôles d'accès et d'identifications, les autorisations d'accès aux applications devant être verrouillées au plus profond des OS. Il est possible de chiffrer en trois points le système d'information : sur les mobiles, sur les serveurs ou sur la ou les passerelles. Si les appareils disposent d'applications de chiffrement des données, de codifications par des codes d'accès envoyés par l'opérateur (selon le processus vulgarisé par RSA Software), leur utilisation ne sera pas plus dangereuse que celle de PC portables. Il reste que les systèmes d'exploitation de terminaux mobiles, en particulier Android, ne sont pas encore très bien protégés comme en témoigne le tableau ci-contre.
Côté service Informatique, le contrôle de l'équipement est une nécessité et pour les utilisateurs d'équipements privés n'appartenant pas à l'entreprise, des assurances doivent être mises en place et les conditions d'utilisation des appareils, faire l'objet d'un avenant au contrat de travail, une situation qui rejoint celle des voitures privées utilisées dans le cadre d'un classique contrat de travail de représentant de commerce. En Allemagne, pour éviter les conflits, la plupart des avocats d'entreprises refusent les compromissions et obligent les employés à utiliser les matériels sous la responsabilité de l'entreprise. Ce besoin «d'ordre» a évolué car le contrôle fin des applications, et la visibilité complète des données professionnelles sur la flotte nécessitent des traitements par lots, une organisation difficilement compatible avec des téléphones ou tablettes personnelles.
Les dirigeants, premiers utilisateurs et premières cibles du Byod
Mais tous les cas sont dans la nature et bien des directeurs d'entreprises sont les premiers à briser les solutions de sécurité les plus simples. Si les applications demandées par les utilisateurs de mobiles sont d'abord l'accès aux mails, les calendriers et contacts (surnommé les PIM, pour Personal Information Management) et les réseaux sociaux comme Facebook ou Linkedin, le besoin évolue naturellement, selon l'intégrateur Telindus, présent aux assises de la sécurité, vers les accès à Internet et son contenu et les applications. Telindus estime que les entreprises doivent être prêtes à étendre les fonctions proposées aux utilisateurs, et qu'en 2014 il y aura peu de simples projets d'accès PIM, au profit d'une vision globale du contrôle du contenu et des applications. Le MCM, le Mobile Content Management, la capacité de gérer du contenu professionnel sur les mobiles reste le danger maximal car le management de la mobilité ne se limite pas au contrôle des terminaux et de la messagerie. La mobilité s'étend au contrôle du contenu professionnel ainsi qu'aux applications d'entreprises. En conséquence, les enjeux du BYOD ne sont pas une simple fonction à activer dans un contrat de téléphonie, mais bien si l'on a au bout du processus un ensemble de fonctionnalités permettant le contrôle total des données professionnelles. Selon les programmes choisis, il y a des fonctions qui doivent permettre une séparation franche entre le domaine professionnel (donc contrôlé) et personnel. C'est sur ce registre que joue la firme Good Technology qui surfe sur la capacité de ses logiciels à ne pas confondre vie personnelle et vie professionnelle, un argument qui a fait aussi le succès des portables BlackBerry. Mais la guerre des tarifs a rendu la firme canadienne moins incontournable sans pour autant qu'elle ait perdu dans cette bataille, ses atouts de sécurité. L'accès des utilisateurs à des fonctions stratégiques des applications d'entreprise dépendra de la politique de mobilité qui aura été mise en place en amont.
La menace interne, plus compliquée et plus politique
Si les mobiles constituent un risque récent, ils ne sont pas ingérables. Par contre, les mesures pour empêcher toute forme de piratage interne et leur transmission à l'extérieur reste un travail plus complexe. A défaut de restreindre tout le trafic, on peut déjà garder une trace des différentes opérations et ainsi pouvoir identifier les personnes et les fichiers compromis. C'est tout l'argument de dissuasion mis en avant par Wallix, l'un des fabricants de pare-feu français les plus en vue. Son PDG Jean-Noël de Galzain nous reprécisait l'importance de la gestion des comptes à privilèges, ceux qui administrent en fait le réseau et les pare-feu : «Etes-vous par exemple conscient qu'Edward Snowden, à l'origine de la révélation de Prism, un système d'écoute sur presque l'ensemble d'Internet, était simple salarié chez un prestataire de services de la NSA très connu ( NDLR Booz Allen Hamilton) Comment imaginer qu'il ait pu prendre seul l'initiative depuis son poste informatique, d'utiliser les privilèges de ses accès informatiques pour télécharger des informations au plus haut degré de confidentialité avant de les diffuser au monde entier. Combien y a-t-il d'Edward Snowden en gestation dans nos organisations ?»
Une idée reprise par Eric Domage en charge de la Business Unit Sécurité chez Orange Business qui nous confiait lors des Assises : «le gros problème, c'est la menace interne, qu'il s'agisse de réseaux privés ou de solutions dans le Cloud. En plus, en France, la loi en 2014 va évoluer pour défendre les employés qui auront dénoncé des pratiques illégales de leurs employeurs. Avec la CNIL, qui est très active sur la défense des fichiers d'informations privés, on peut parier sur des procédures de licenciement compliquées pour les informaticiens qui auront vu des transactions peu correctes». L'idéal serait donc à terme de confier ses fichiers stratégiques à des services d'informaticiens assermentés au sein de cloud hyper sécurisés, comme le propose le fournisseur de Cloud souverain Cloudwatt (indirectement inclus dans les réseaux Orange et Numergy (lié à SFR).
Comment répondre aux principales attaques ?
Outre les malwares qui s'installent aussitôt qu'une faille est découverte, la tendance la plus courante, en particulier sur les applications web, est le déni de service, une forme d'étouffement des sites par des milliers de requêtes en provenance de réseaux de PC zombies, les botnets, auxquels votre entreprise participe peut être sans le savoir. Les plus récentes recherches montrent que dans 63 % des entreprises, au moins un bot a été détecté. La plupart des entreprises sont infectées par une variété de bots.
Fonctionnement des botnets
Un botnet se compose généralement d'un certain nombre d'ordinateurs infectés par des logiciels malveillants, les bots qui établissent une connexion réseau avec un système de contrôle appelé «serveur de commande et de contrôle». Lorsqu'un bot infecte un ordinateur, il prend le contrôle de l'ordinateur et neutralise ses défenses antivirus. Les bots sont difficiles à détecter car ils se cachent à l'intérieur des ordinateurs et ne font pas parler d'eux, parfois pendant des mois. Pourtant ils modifient la manière dont ils se comportent selon les logiciels antivirus. Le bot se connecte alors au serveur de commande et de contrôle pour obtenir des instructions de la part des cybercriminels. De nombreux protocoles de communication sont utilisés pour ces connexions, y compris IRC, HTTP, ICMP, DNS, SMTP, SSL, et dans certains cas, des protocoles personnalisés créés par les auteurs des botnets. La solution immédiate est d effectuer une analyse des serveurs en termes d'entrée-sortie, et l'on doit savoir si l'appareil est infecté. Au-delà il est bon de savoir ce que l'on peut faire pour prévenir des bots en surveillant les flux d'informations sortants. C'est ce contrôle des IDS, qui peut être aussi associé à un filtrage d'URL afin d'éviter de polluer d'autres sites étrangers et d'éviter d'être accusé de piratage. Bref, le minimum syndical pour éviter de participer à ces attaques est d'éliminer ces bots en nettoyant chaque poste et chaque serveur.
La solution de facilité : passer par les intégrateurs
Pour les intégrateurs, pas besoin d'obligatoirement tout sous-traiter dans le Cloud. Pour Telindus qui organisait aux Assises une conférence sur l'organisation de la sécurité animée par Noël Chazotte, son Directeur Marketing Sécurité : «Le chiffrement des documents professionnels, qui ne pourront être lus et déchiffrés que dans les applications autorisées et donc capables de n'être déchiffrés que par des personnes autorisées, réduit les risques de manière drastique». L'intégrateur dispose d'une équipe de sécurité dédiée au test intrusif- le SRC – équipe à même de faire un bilan complet sur la sécurité des équipements mobiles. «Nous sommes en mesure de proposer des services sur mesure comme le durcissement d'OS, des Pen-tests complets sur une application particulière, etc.» Une approche complète qui a convaincu Marc Tracez, le responsable des infrastructures de sécurité chez CNAF. Lors de la conférence, le discours s'il était assez simplificateur, résumait bien le sentiment de nombreux RSSI : «si l'on souhaite avoir une approche cohérente pour sécuriser les données de l'entreprise, tout en ayant en vue le cycle de vie de la donnée, il semble évident qu'il est impossible de mener tous les fronts à la fois. Il faut donc procéder par ordre de priorité afin d'avancer pas à pas». Identifier les données sensibles liées à l'activité de l'entreprise, travailler avec les métiers ; identifier les comportements à risques et points de fragilités ; et accompagner les usagers.