Sécurité : où sont les projets? PRÉSENTATION CONTEXTE TÉMOIGNAGES

Transcription

1 Sécurité : où sont les projets?

2 Présentation JUILLET 2014 Contrôle des accès physiques et logiques, sécurisation des systèmes de contrôle industriels, gestion des risques, sécurisation des échanges électroniques, SSO, authentification forte, ou encore supervision de la sécurité avec un système de gestion des informations et des événements de sécurité Autant de sujets clés de la sécurité des systèmes d information modernes abordés ici au travers de témoignages récoltés tout au long de l année. CYRILLE CHAUSSON Rédacteur en chef, TechTarget / LeMagIT 2

3 Contexte 1. Sécurité : temps et budgets encore trop négligés S appuyant sur le sondage de près de 3000 entreprises à travers le monde, Kaspersky Labs tire - une nouvelle fois - la sonnette d alarme : temps et budgets alloués à la sécurité semblent largement insuffisants face une menace de plus en plus prégnante 2. Sécurité : la pénurie de compétences touche le monde entier La France ou encore le Royaume-Uni ne sont pas les seuls pays concernés par les difficultés de recrutement en matière de sécurité informatique. 3. Le numérique, une révolution en marche pour les RSSI La nouvelle révolution du numérique, portée par la consumérisation, le Cloud, les réseaux sociaux, l interconnexion croissante des systèmes d information, entre autres, commence à transformer radicalement le métier des RSSI. 1. SÉCURITÉ : TEMPS ET BUDGETS ENCORE TROP NÉGLIGÉS S appuyant sur le sondage de près de 3000 entreprises à travers le monde, Kaspersky Labs tire - une nouvelle fois - la sonnette d alarme : temps et budgets alloués à la sécurité semblent largement insuffisants face une menace de plus en plus prégnante.il faut faire plus, semble indiquer l étude réalisée par B2B International pour Kaspersky auprès de près de 3000 entreprises du monde entier, dont une petite centaine en France. Ainsi, en Europe, seulement 38 % des sondés estiment disposer d un temps et d un budget suffisant pour développer leurs politiques de sécurité IT. L éditeur souligne que 32 % des sondés ont en outre indiqué que les personnels de leurs organisations peinent à se conformer aux règles de sécurité en place. Des règles incomprises pour 38 % des sondés. Et pourtant, 60 % des personnes interrogées ont indiqué faire circuler régulièrement des bulletins d information visant à sensibiliser les utilisateurs. Mieux : 58 % des sondés proposeraient des programmes de formation ciblés. Las, seulement 46 % indiquent pouvoir infliger des sanctions aux utilisateurs ne respectant pas les règles de sécurité en place. 3

4 Sécuriser le périmètre humain semble encore difficile. Et tant pis s il n a rien de négligeable. Car si les vulnérabilités et failles dans les logiciels des entreprises on reculé en deux ans - rencontrées par 47 % des sondés en 2011, elle ne le sont plus que par 39 % en , les fuites et les partages de données accidentels par les utilisateurs restent stables - reconnus par 32 % des sondés. Il faut ajouter à cela les pertes et vols de terminaux mobiles, reconnus par 30 %, les vols/fuites de données intentionnels (19 %), les partages inapropriés (18 %), ou encore les défaillances de partenaires et de fournisseurs (15 %). En tout, 24 % des entreprises interrogées ont souffert de pertes de données métiers dues à des facteurs internes, avec, dans 6,5 % des cas, la perte de données sensibles. Le BOYD encore peu abordé L étude commandée par Kasperky montre en outre que le BYOD a des conséquences bien réelles en matière de sécurité : 95 % des sondés auraient ainsi fait l expérience d un incident de sécurité lié à des terminaux mobiles au cours des 12 derniers mois. Et dans 38 % des cas, cela s est soldé par la fuite de données internes importantes. L éditeur russe le souligne : «les menaces mobiles poussent les entreprises à déployer des règles de sécurité supplémentaires pour les terminaux mobiles. Toutefois, cela ne se concrétise pas dans toutes les entreprises.» Selon les résultats de l étude, seules 14 % des entreprises disposeraient de règles de sécurité totalement déployées pour les terminaux mobiles. Le déploiement serait en cours dans 41 % des entreprises. Reste 45 % qui en sont complètement dépourvues. Mais le monde de l entreprise semble totalement divisé quant à l approche à adopter en matière de BYOD. 35 % des entreprises de l'étude veulent interdire ou essayer de limiter le plus possible le phénomène. 31 % des sondés l acceptent, et 34 % le considèrent comme une fatalité impossible à éviter. Las, faute de prévoir et d anticiper, la gestion des incidents de sécurité a un coût. Kaspersky estime ainsi à $ le coût de recours à des services tiers additionnels pour une PME, et à près de $ pour une grande entreprise. Mais ce n est qu une moyenne. 4

5 L éditeur relève que des PME ont eu à débourser jusqu à $ pour faire face à un incident de sécurité, contre 7,5 M$ pour de grandes entreprises. Et c est sans compter les pertes liées à l activité car, dans 60 % des cas, les fuites de données auraient «significativement» perturbé l activité et, pour près de 30 %, provoqué la perte de contrats ou d opportunités commerciales. Le tout pour un montant estimé à $ en moyenne pour une PME, et $ pour une grande entreprise. En parallèle, Kaspersky estime que, en moyenne, renforcer le recrutement dans le domaine de la sécurité coûterait $ pour une PME, et $ pour une grande entreprise. Financièrement, la pire menace semble être celle des attaques ciblées, avec un coût total moyen estimé à 2,4 M$ pour une grande entreprise, et $ pour une PME. Viendrait juste après l intrusion réseau, à 1,67 M$ et $ respectivement. Valéry Marchive 2. SÉCURITÉ : LA PÉNURIE DE COMPÉTENCES TOUCHE LE MONDE ENTIER Recruter des compétences en sécurité informatique n est pas chose facile, relève Reuters. Nos confrères soulignent ainsi que, dans le monde entier, «la demande en faveur de spécialistes [de la sécurité informatique] dépasse largement le nombre de personnes qualifiées», poussant à l inflation des salaires dans une vive compétition entre entreprises mais également entre celles-ci et les gouvernements. Et de rappeler que le Cyber Command de l armée américaine entend recruter spécialistes d ici la fin 2015 pour doubler ses effectifs. Interrogé par nos confrères, Chris Finan, ancien directeur de la cyber sécurité à la Maison Blanche, constate simplement que «en définitive, c est une question de capital humain et nous n en avons pas assez.» Les recrues se permettent donc d être pointilleuses, «choisissant où elles travaillent en fonction du salaire, du mode de vie, et de l absence de bureaucratie oppressante ce qui rend particulièrement difficile le recrutement dans le secteur public.» 5

6 Outre Atlantique, les salaires iraient ainsi de $ à $ par an pour les spécialistes «bien» qualifiés, voire $ pour les plus talentueux. En Europe, le Royaume-Uni vient de lancer un partenariat public-privé pour renforcer l émergence de compétences en cyber-sécurité. En juin dernier, BAE Systems indiquait s investir pour former plus de compétences dans le domaine. Et en France, la concurrence pour le recrutement de compétences est rude. Lors des Assises de la Sécurité, début octobre à Monaco, Patrick Pailloux, directeur général de l Anssi, rappelait encore ses ambitions en la matière. Dans un entretien accordé à Security Defense Business Review, le Contre-Amiral Arnaud Coustillière, Officier général «cyberdéfense» évoquait récemment la création de 350 postes à créer, d ici 2019, dans la chaîne SSI du Ministère de la Défense. En janvier 2013, c était le Général d armée et directeur du Centre de recherche de l Ecole des officier de la Gendarmerie Nationale, Marc Wattin-Augouard, qui interpelait sur le manque d experts en sécurité formés en France, rejoignant déjà Patrick Pailloux. Mais dès début 2011, Frost & Sullivan tirait la sonnette d alarme dans une étude conduite pour (ISC)2, évoquant 1,15 million d emplois liés à la sécurité informatique dans la région EMEA à l horizon Valéry Marchive 3. LE NUMERIQUE, UNE REVOLUTION EN MARCHE POUR LES RSSI Une fois de plus, les Assises de la Sécurité, qui se déroulaient la semaine dernière à Monaco, ont été l occasion de dresser un état des lieux de la fonction SSI (sécurité des systèmes d information) au sein des entreprises. Et la mutation du numérique, entraînée par la consumérisation, le Cloud, et les réseaux sociaux, notamment, semble bien là. Caroline Apffel, consultante chez Spencer Stuart, relève ainsi, selon les résultats d une étude conduite par le Cercle Européen de la Sécurité auprès de 300 RSSI, que les impacts de cette mutation, s ils restent naissants, n en sont pas moins réels. Les notions de service et d élasticité gagnent ainsi en importance, avec «une attente plus importante sur le niveau de service que doit apporter l entreprise» à ses collaborateurs. Surtout, la dépendance à la disponibilité, à 6

7 l intégrité et à la confidentialité des informations va croissante. Alors même que la surface d attaque potentielle ne fait que s étendre. Olivier Daloy, Ciso du groupe LVMH, ne contredit pas ces tendances. Pour lui, le point clé tient au «passage d un risque technique à un risque lié aux données et à l identité des utilisateurs.» C est la fin de la sécurité périmétrique et le début d un recentrage sur «la donnée elle-même.» Ce qui ne manque de faire ressortir des défis peut-être un peu ignorés par le passé : «cela a un impact humain sur l entreprise. La sensibilisation et la communication sont plus que jamais nécessaires avec les utilisateurs, car c est là que se concentre le risque pour l entreprise.» Mais l enjeu dépasse la sécurité et touche à l activité même de l entreprise, souligne-t-il, précisant qu il est devenu important «de montrer l efficacité de ses processus de protection de données à ses clients.» De quoi donner au RSSI une nouvelle dimension, lui permettant de se positionner comme véritable facilitateur de l activité économique de l entreprise. Amir Belkhelladi, directeur conseil technologique chez Accenture, va plus loin, relevant que «l entreprise numérique est devenue, pour certaines organisation, un coeur de métier», «un enjeu important de l activité», même si les niveaux de maturité varient sensiblement d une entreprise à l autre. Piquant, Pierre-Luc Refalo, ancien du cabinet Hapsis devenu récemment directeur de l activité conseil en sécurité de Sogeti France, souligne la futilité d une résistance à des tendances de fond appelées à s amplifier. Et de prendre l exemple du BYOD : «aujourd hui, le discours anti-byod, je ne sais pas à quoi ça rime et pourtant on l entend encore beaucoup.» Reste que, selon lui, tout cela contribue à construire de «l instabilité» dans la fonction SSI, voire même DSI. Ce qu estiment d ailleurs deux tiers des professionnels sondés dans le cadre de l étude. 72 % des sondés assurent en outre revoir leurs approches de la sécurité pour se recentrer sur la protection des informations stratégiques, quand 68 % d entre eux renforcent leurs efforts sur le contrôle des risques et la conformité. 7

8 Mais cette instabilité n est pas si mauvaise. Caroline Apffel relève ainsi qu'unanimement, les RSSI sondés estiment que leur fonction ressort confortée, sinon renforcée. Beaucoup auraient ainsi gagné en indépendance. Et dans les grands groupes, la question de la sécurité des systèmes d information aurait tendance à s inviter au conseil d administration, s émancipant du comité de direction. Ce qui n est toutefois pas sans créer de nouveaux défis, rendant «la fonction plus complexe» et exigeant un effort d adaptation de la communication, comme le relève Olivier Daloy. Pour lui, le RSSI gagne bien en visibilité, intéressant désormais le PDG. Mais cela impose de savoir «lui parler de ce qui le concerne, de ce qui l empêche de dormir la nuit.» Valéry Marchive 8

9 Témoignages 1. L'organisation, la clé de la sécurité des Scada pour le CEA à Cadarache Interrogé par la rédaction à l occasion de la dernière édition des Assises de la Sécurité, début octobre, à Monaco, Patrick Baldit, DSI du centre de Cadarache du CEA insiste sur le volet organisationnel de la sécurisation des systèmes Scada. 2. VW : une seule carte pour le contrôle des accès physiques et logiques A l occasion des Assises de la Sécurité, qui se déroulaient début octobre à Monaco, le groupe Volkswagen a montré comment il unifiait le contrôle des accès physiques et logiques sur une seule carte avec les solutions Nexus. 3. GDF Suez consolide la gestion des risques avec Skybox Christophe Long, RSSI adjoint de GDF Suez, a détaillé la manière dont le groupe gérait de manière intégrée ses risques informatiques. 4. La Cnaf sécurise ses échanges électroniques avec Axway La Caisse Nationale d'allocations Familiales a retenu les appliances Axway pour implémenter son standard interne de sécurisation des échanges synchrones avec ses partenaires. 5. Leroy-Merlin ajoute le SSO à ses postes de travail virtualizes Leroy-Merlin devrait achever fin 2014 la virtualisation de l ensemble de ses postes de travail. Un projet auquel l enseigne a ajouté une couche d ouverture de session (SSO) unifiée afin d améliorer l adhésion des utilisateurs. 6. Paybox supervise sa sécurité avec le SIEM de LogRhythm Connu pour ses solutions de paiement électronique sécurisé, Paybox a choisi en 2012 de moderniser la supervision de la sécurité de ses infrastructures en s appuyant sur le système de gestion des informations et des événements de sécurité de LogRhythm. 9

10 1. L'ORGANISA TION, LA C LE DE LA SEC URITE DES SCA DA POUR L E C E A A C ADAR ACHE C est une organisation quelque peu avant-gardiste dont profite le centre de Cadarache du CEA (Commissariat à l'énergie atomique) pour la gestion de son informatique. De fait, la DSI ne se contente pas de couvrir les aspects classiques des systèmes d information. Patrick Baldit, à sa tête, explique ainsi piloter quatre laboratoires. Les trois premiers touchent à des domaines classiques : réseaux et télécommunications, infrastructure serveurs, centres de calcul et postes de travail, et enfin développement, maintenance applicative et veille technologique. Le quatrième, également rattaché directement à la DSI, concerne la télésurveillance et les systèmes de contrôle commande. L informatique industrielle, donc, avec les systèmes Scada. «Nous sommes organisés ainsi depuis une dizaine d année. Et lorsqu il y a des problèmes d arbitrage, c est moi qui tranche», explique Patrick Baldit. Et si force est de constater que «la culture est très différente entre ceux qui viennent de l automatisme et ceux qui viennent de l informatique», cette organisation lui a permis «de bien avancer en matière de sécurité. Et lorsque j observe les débats actuels sur la protection des Scada, je me sens conforté dans mon organisation». Une organisation qui a permis de dépasser les questions de cultures et de profils. Parce que les automates programmables ont évolué, se dotant de cartes réseaux : «perplexes initialement, les experts de l automatisme ont pu aisément se rapprocher de leurs collègues du réseau. Et si, pour nous, cela n a pas toujours été simple, j imagine que cela doit être difficile lorsque l on est organisé différemment.» Une approche consolidée de la sécurité La même logique s étend déjà à la sécurité : «depuis deux ans, à l intérieur de notre DSI, nous avons monté une équipe cyber-sécurité, avec un expert dans chaque thématique.» Mais Patrick Baldit envisage d aller plus loin, dès le début 2014, pour composer une équipe cybersécurité autonome, «compte tenu de l ampleur que prend le sujet. La sécurité devient le donneur d ordre des métiers de l IT. Avant, on leur demandait simplement de prendre en compte le sujet. Désormais, nous devons d abord faire de la sécurité, applicative, réseau et infrastructure. C est un changement récent, mais si on ne le fait pas, on ne peut pas résister». 10

11 Mais ce ne sera pas facile : Patrick Baldit cherche des profils très spécifiques, capables d aborder tant les problématiques réseaux qu infrastructure - «pas très faciles à trouver». Des fournisseurs pas encore complètement mûrs Mais la maturité des fournisseurs semble aussi poser question. Si les spécialistes des systèmes Scada collaborent au groupe de travail de l Anssi (Agence nationale de la sécurité des systèmes d'information) sur le terrain, «il faut encore passer la barrière de l avantvente» pour aborder des interlocuteurs compétents et concernés par la question de la sécurité. «Et nous avons des installations nucléaires. On ne peut pas se permettre d avoir un incident parce qu une ventilation tombe en panne à cause d un attaquant!» Et ceux qui viennent de l informatique ne sont pas forcément infaillibles. «En début d année, nous avons eu un incident avec un prestataire pour la tierce maintenance applicative. Il devait mettre à jour le firmware d un automate, sur le réseau industriel, isolé du réseau bureautique. Las, il l a téléchargé sur un PC vérolé, et installé à partir d une clé USB qui a infecté l ordinateur du réseau utilisé pour l application de la mise à jour.» Un incident qui ne va pas sans rappeler la manière dont Stuxnet s est initialement propagé dans l usine de Natanz, en Iran. Alors pour éviter cela, la DSI met en place de nouveaux processus, sensibilise et montre la réalité de certains incidents : «c est indispensable. Il est essentiel de se donner les moyens de traduire de manière opérationnelle le plan de sécurité du système d information. Si on ne le fait pas, il ne sert à rien de l écrire.» Par exemple, les données à diffusion restreinte sont chiffrées avec les outils de Prim X, retenus pour leurs fonctionnalités et leur facilité de mise en oeuvre, avec ZoneCentral dans un premier temps, pour les dossiers et fichiers partagés, puis ZonePoint, pour le partage de documents avec les partenaires. Mais pas question de déployer des outils sans l'organisation adaptée pour garantir leur utilisation : pour s assurer que les outils sont bien utilisés, les équipes de Patrick Baldit ont mis en place des workflows et intégré la supervision du chiffrement à l outil d IAM (Identity Access Management) de la DSI. Valéry Marchive 11

12 2. VW : UNE SEULE CAR TE POUR LE C ON TR OL E DES A CCE S PHYSIQUE S ET L OGIQUES Avec plus de utilisateurs répartis dans le monde entier, le groupe Volkswagen ne peut pas se permettre de multiplier les solutions et les couches de gestion des identités et des accès, physiques comme logiques - à rien moins que applications -, ne serait-ce que pour des questions de coûts. Il y a donc longtemps que le constructeur automobile travaille à la gestion unifiée des identités et des accès. Mario Baermann, chef de projet sécurité chez Volkswagen, explique ainsi que le groupe s est doté d une infrastructure PKI dès Mais celleci n était qu une base pour aller plus loin et permettre l authentification à deux facteurs pour l accès logique aux applications clés. Et suivant différents moyens : carte à puce à insérer dans un lecteur ad-hoc sur les postes de travail, en complétant d un code PIN ou d un code personnel à usage unique, mais aussi RFID pour les accès physiques aux locaux et le règlement des repas à la cantine, ou encore bande magnétique pour l accès à d autres services comme le remplissage de réservoirs de voitures. Le tout avec, pour les services logiques, une fonction de SSO afin d éviter les authentifications multiples et fastidieuses. L utilisation de codes barres est également envisagée dans des cas spécifiques, tels que le déploiement initial rapide de l offre de service sur un site donné. Mais l équipe de Mario Baermann pense déjà au futur : «les ordinateurs de demain n auront pas forcément leur carte à puce. Et nous devrons supporter de nouveaux terminaux. Nous réfléchissons donc aux moyens de communication sans contact.» Une échelle impressionnante Au total, le groupe compte déjà 230 applications de coeur de métier supportant la carte d accès unique, «avec une tendance à la croissance», et badges déployés, avec un objectif de Mais là, rien n est simple, compte tenu de l échelle du projet : «le déploiement n est pas toujours très simple. Il faut les capacités IT requises, la formation, le support, etc. [ ] Et nous devons travailler conjointement avec les chargés de la sécurité, de la sureté et de l exploitation des sites. Et il n y a pas de telles unités à l échelle du groupe.» Autant de clients aux spécificités avec lesquelles il faut donc composer, en plus des différents fuseaux horaires ou des barrières linguistiques. D où des équipes dédiées et des 12

13 consoles de gestion des cartes dans chaque fuseau horaire où le groupe est présent, «pour accélérer le déploiement et l adoption». Heureusement, les retours sont plutôt positifs, faisant notamment état d une véritable simplification. Mais la personnalisation reste un point difficile, de même que la gestion du cycle de vie des cartes : «les processus associés sont complexes et susceptibles de générer des erreurs». Simplifier et industrialiser C est donc à leur simplification et à leur industrialisation que travaille actuellement le groupe. Jan-Patrick Feige, chef de projet sécurité chez Volkswagen, souligne l importance, dans ce cadre, de communiquer avec les utilisateurs finaux, pour produire un service qui réponde à leurs besoins : «pour eux, la technologie doit être invisible alors qu elle compte beaucoup pour nous. Nous avons donc besoin de processus flexibles et supportant une grande échelle de déploiement. Ainsi que d importantes capacités d intégration avec d autres applications et services.» En outre, le groupe a besoin «de processus robustes, c est-à-dire stables dans l instant et stables dans le futur, même si l environnement utilisateur change». Et la gestion des cartes d accès communes s appuie sur quatre piliers : la gestion des identités et des rôles, associée à celles des droits et restrictions, la gestion des accès, la gestion du cycle de vie des identités et des rôles, et enfin l authentification. «Nous réévaluons ces quatre services de base dans le cadre d un processus d amélioration continue», explique Jan-Patrick Feige. Mais également, dans ce contexte, les workflows de production des cartes à puce au sein des différentes entités du groupe : «chaque entreprise peut avoir son propre workflow, souvent avec les mêmes étapes, mais réalisées dans un ordre différent. Nous travaillons à atteindre un seul workflow simplifié», notamment pour réduire les coûts et simplifier le travail des utilisateurs. D où l utilisation de Nexus Credential Manager, qui «propose un moteur de workflow solide et moderne. Il dispose de toute la flexibilité dont nous avons besoin pour construire nos processus en nous concentrant sur le client et l utilisabilité». 13

14 En outre, grâce à son architecture multi-tenant, Nexus Credential Manager supporte des subtilités «à l échelle du groupe, comme d une seule équipe». Et si cela peut «paraître simple dit comme cela, c est très difficile», souligne Jan-Patrick Feige, précisant que le projet a du être divisé en plusieurs sous-projets. Mais à la clé, le groupe pourra même implémenter un portail de selfservice de ses cartes pour ses utilisateurs finaux et disposer d outils robustes de suivi et de reporting des accès. «Mais ce n est pas la fin du voyage. Nous avons utilisé un temps la combinaison nom d utilisateur/mot de passe. Nous savons que ce n est plus sûr aujourd hui. Le couple PKI/OTP l'est davantage aujourd hui. Mais les attaquants ne se reposent pas sur leurs lauriers. Nous devons donc penser à la suite, à la biométrie par exemple. Et Credential Manager est prêt pour cela.» Valéry Marchive 3. GDF SUEZ C ONSOL IDE L A GE STION DE S RISQUES A VEC SKYBOX Le groupe GDF Suez est fort d une très longue histoire, marquée au final par des activités extrêmement variées. Certaines sont bien connues, d autres moins, comme l installation de radars ou encore l administration de prisons, rappelait ainsi Christophe Long, RSSI groupe adjoint, de GDF Suez, en introduction à son témoignage lors de la dernière édition des Assises de la Sécurité, qui se déroulaient début octobre à Monaco. Au final, il faut ainsi compter avec cinq branches d activités et entités juridiques. Pour gérer de manière cohérente la sécurité de ses systèmes d information, le groupe dispose d une RSSI groupe «qui assure un rôle transverse». Avec humour, Christophe Long relève que «pendant longtemps, je disais que la sécurité informatique, c était 80 % de bon sens et 20 % de savoir. Mais si le bon sens est partagé par tous, c est aussi pour cela qu il y en a aussi peu par personne». Pas question, donc, de la laisser reposer sur le seul bon sens des individus. Las, les évolutions de l environnement IT, des usages, ont conduit à une multiplication des risques, tant au niveau des infrastructures IT que des applicatifs, «de manière un 14

15 peu anarchique». Pour gérer le risque touchant aux infrastructures, le groupe s appuie donc sur des contrôles internes, sur un système de gestion des informations et des événements de sécurité (SIEM), sur un centre de sécurité opérationnelle (SOC), et sur Skybox. Un outil, relève le RSSI groupe adjoint, qui a permis de développer une vision globale du risque. Une vision intégrée du risque Et de fournir une solution en environnement complexe, fort de plusieurs milliers de serveurs, adossés à une «construction télécoms qui a été un peu complexe». Face à cela, obtenir une vision complexe du risque s avérait difficile : «il y a bien des solutions sur le marché mais toutes étaient trop chères», hormis Skybox, complété par le scanner de vulnérabilités applicatives Nessus. «Là, on peut regrouper les plates-formes techniques et disposer d une vision complète sur les vulnérabilités applicatives», explique Christophe Long. Et de prendre l exemple de la plateforme Omega, «qui gère la clientèle particuliers de GDF Suez. Ce sont 400 serveurs avec autant de configurations différentes. Aujourd hui, nous sommes capables d identifier les vulnérabilités et de dire si les correctifs ont été appliqués ou non. Avant, c était impossible». En outre, Skybox permet de définir précisément le périmètre de reporting «pour répondre aux besoins spécifiques des entités hébergées sur notre réseau». La solution permettrait même de développer une visibilité en temps réel mais «pour l instant, nous nous contentons d un scan par mois, parce que chaque scan génère des logs et la configuration de certains serveurs ne le supporterait pas». L objectif, à terme, est d arriver à un scan de vulnérabilités par semaine. En outre, dans sa configuration actuelle, Skybox s avère peu consommateur de ressources humaines - «une personne deux à trois heures par jour pour gérer tout cela.» Plus loin, la RSSI groupe entend intégrer la cartographie de son réseau au sein de Skybox. Ce qui lui permettra de disposer d une visibilité plus fine sur le cheminement d incidents dans son infrastructure. De premiers résultats 15

16 SAP-ERP Et Skybox n a pas mis plus de cinq minutes après son déploiement pour livrer ses premiers résultats : des partages de fichiers ouverts sur des serveurs bureautiques. Des partages dans lesquels se trouvent des fichiers d installation d applications, avec identifiant et mot de passe administrateur en clair. Des partages temporaires qui n avaient pas été refermés. Skybox a permis de déterminer les priorités pour traiter les différents cas. Mais aussi souple et apparemment efficace que soit le duo Skybox/Nessus, Christophe Long insiste sur l importance de la communication auprès des managers : «il faut que la sécurité soit intelligible et disposer de mesures, d indicateurs.» Pour lui, «il faut être habité par le principe de réalité : les managers ne comprennent pas la sécurité informatique, ils comprennent la réalité ; il faut donc présenter la sécurité de manière terre à terre, offrant de véritables résultats mesurables». Valéry Marchive 4. LA CNAF SEC URISE SE S EC HANGES ELEC TRON IQUE S AVEC A XWAY Thierry Guiot, architecte sécurité à la Cnaf, rappelle le contexte de la caisse : sa mission consiste à verser des prestations d aide aux familles et à lutter contre la précarité. En tout, elle doit distribuer 80 Md par an, répartis en 120 millions de virements. Mais tout cela ne se fait pas seul. En tout, la Caisse Nationale d Allocations Familiales interagit électroniquement avec trois partenaires financiers, 12 types de partenaires de protection sociale - pour 88 flux de données -, 20 types de partenaires publics - pour 86 flux - et 27 partenaires privés et prestataires - pour 89 flux. Un total de près de 300 flux de données qui nécessitent d être sécurisés. L enjeu s avère d autant plus grand que «l enjeu des prochains mois sera dans la coproduction des données, leur certification et la lutte contre la fraude», explique Thierry Guiot. Et de donner un exemple : «nous avons besoin de vérifier les SIREN/SIRET en nous appuyant sur un service Web délivré par l Insee.» La lutte contre la fraude s appuiera quant à elle sur la construction «d un référentiel interbranches pour réaliser des contrôles croisés et identifier d éventuelles anomalies de déclaration». 16

17 Tout cela «implique une intensification des échanges synchrones» entre la Cnaf et ses partenaires. Une intensification qui impose «d être agile dans l exposition du métier tout en garantissant l intégrité du système». Un standard taillé sur mesure D où la naissance, dès 2004, d un standard dédié aux échanges entre organismes de la sphère sociale : Interops. Issu d un projet initié par la Direction de la Sécurité Sociale, il vise à «définir une manière d échanger sécurisée et standardisée», et est arrivé en version 2.0 en «Il repose sur la confiance», explique Thierry Guiot, précisant que «l authentification et l habilitation [des personnes morales l utilisant, NDLR] sont déléguées aux organismes clients» ; ce qui permet de limiter les coûts d administration. Le standard permet en outre de tracer de bout en bout les échanges pour en assurer le contrôle à posteriori. Lui-même repose sur des standards techniques connus et éprouvés : SAML, SSL, «pour assurer sa portabilité, car chaque organisme est libre de son implémentation», précise Thierry Guiot. Par construction, le standard est conforme au référentiel général de sécurité de l Anssi, mais c est l implémentation qui fera la conformité du système. Le standard Interops prévoit plusieurs typologies d échanges. Thierry Guiot précise qu il n est pas «intrusif vis à vis du métier : lorsque l on va vouloir développer un service métier exposé, l équipe concernée n a pas besoin de connaître Interops parce qu il est basé sur des proxy et des reverse-proxy qui s intègrent au sein de la chaîne de liaison et qui prennent eux-même le standard en charge». Depuis la fin 2012, la branche famille utilise ainsi le standard en s appuyant sur quatre appliances Axway «pour la gestion des échanges synchrones». L un des impératifs était de disposer d une solution capable d évoluer en volume «pour industrialiser la sécurisation de ces échanges». Sécuriser les flux 17

18 Les appliances retenues fournissent ainsi «une approche sur étagère avec de nombreux filtres de sécurisation. Elles sont modulaires, flexibles et intègrent de nombreuses possibilités de manipulation de flux XML, utiles pour les échanges SOAP». En outre, Thierry Guiot indique avoir été séduit par les «capacités d interfaçage» des appliances : «anti-virus, annuaire LDAP, bases de données, serveur Radius... Nous avons pu les intégrer véritablement à notre système d information». Et de résumer sa description à une solution «hybride entre parefeu applicatif et ESB». Valéry Marchive 5. LEROY-M ERLIN A JOUTE LE SSO À SES POSTE S DE TR AVA IL VIRTUALISÉS C est fin 2010 que Leroy-Merlin a lancé les premières études visant à virtualiser ses postes de travail. Un projet qui s inscrit dans une démarche globale de «centralisation de l infrastructure IT de nos magasins,» explique Thibault Lehoucq, chef de projet. Historiquement, précise-t-il, les postes de travail dans les points de vente de l enseigne «étaient partagés. Un utilisateur ouvrait une session Windows le matin et celle-ci restait ouverte toute la journée.» Une approche qui interdisait toute forme de personnalisation et pouvait poser des problèmes de confidentialité, souligne-t-il. Le SSO pour renforcer l adhésion En virtualisant, «nous apportons des sessions de travail personnalisées avec ouverture de session par badge. Et un même utilisateur peut se déconnecter/connecter sur n importe quel poste sans perdre son travail.» Un vrai confort, renforcé par le SSO, qui permet à un utilisateur de s identifier une fois pour toutes à l ouverture de session, sans recommencer au lancement de chaque application métier : «nous l avons intégré au projet dès le départ pour favoriser l adhésion et éviter le rejet. Historiquement, chaque utilisateur pouvait saisir jusqu à 30 fois par jour son mot de passe. Avec le SSO, il gagne en temps et en confort.» Pour parvenir à ses fins, Leroy- Merlin a donc ajouté à son environnement Citrix XenDesktop la solution de SSO du français Ilex, ainsi que la solution de personnalisation de l environnement utilisateur Vuem de Norskale. Cette dernière permet notamment de gérer «les connexions des lecteurs réseau 18

19 et les raccourcis vers les applicatifs. Et l on gagne en rapidité à l ouverture de session,» explique Tibault Lehoucq, tout en précisant que l environnement utilisateur est personnalisé en fonction de la mission de l utilisateur en magasin, à partir d une image système unique pour tous. Réduire les coûts de maintenance La centralisation de l infrastructure doit aussi permettre à Leroy-Merlin de réduire les coûts de maintenance liés aux postes de travail : «le recours au help-desk est réduit. Et partant d une seule configuration, la gestion des mises à jour est simplifiée. Les magasins réalisent aussi des économies du fait du passage de postes lourds à des clients légers, dont la durée de vie est plus longue.» Au total, il estime pouvoir diviser par deux le coût associé aux postes de travail. Mais la virtualisation des postes de travail permettra aussi à l enseigne de gagner en flexibilité et de penser à des évolutions métiers. Thibault Lehoucq explique ainsi que des études sont en cours sur le paiement directement en point de conseil, ou encore sur le déplacement à domicile de conseillers pour, par exemple, préparer un projet de cuisine directement chez un prospect. De nombreux défis Actuellement, trente magasins Leroy-Merlin sont déjà passés au poste de travail virtualisé. L objectif est d achever le déploiement à l horizon fin Mais un tel projet ne va pas sans difficultés. En particulier, Thibault Lehoucq relève «les nombreuses couches technologiques impliquées, tant en termes d infrastructure que de logiciels». Pour aboutir, un tel projet nécessite donc «beaucoup de compétences différentes et décloisonnées». Et concrètement, «parvenir à une infrastructure stabilisée prend du temps». Une période de stabilisation qu il qualifie de «plutôt longue», sans entrer dans le détail. Et puis la faisabilité d un tel projet nécessite une connectivité de qualité. de se côté, Leroy-Merlin s était organisé à l'avance en lançant peu avant un projet de raccordement de ses magasins à ses centres de calcul par fibre optique, avec liens de secours en SDSL. Valéry Marchive 19

20 6. PA YB OX SUPER VISE SA SECUR ITE A VEC LE SIE M DE L OGRHYTHM Connu pour ses solutions de paiement électronique sécurisé, Paybox a choisi en 2012 de moderniser la supervision de la sécurité de ses infrastructures en s appuyant sur le système de gestion des informations et des événements de sécurité de LogRhythm. Jusqu au début de l année 2013, Paybox s appuyait sur des outils développés en interne pour superviser la sécurité de ses infrastructures. Une approche qui ne manquait pas de souffrir de certaines limites et qui a conduit Marc Thomas, directeur technique de Paybox, à chercher un système de gestion des informations et des événements de sécurité, un SIEM. «Nous utilisions une solution de consolidation des logs, syslog, sous Linux, pour récupérer les logs de l ensemble de nos serveurs pour les centraliser. Et cela sur chacun de nos trois sites d hébergerment. En réponse à nos besoins métiers, nous avions développé des scripts en interne permettant de remonter des alertes en fonctions d événements spécifiques.» Selon le niveau de criticité de l événement relevé, l alerte pouvait être adressé à la personne d astreinte par , voire par SMS, sur son mobile. Une approche efficace «pour des événements très ciblés orientés métiers» mais qui, de l aveu même de Marc Thomas, pouvait toucher à ses limites lorsqu il s agissait de repérer «des comportement un peu suspects». Trop «artisanal», donc. De quoi le pousser à chercher des solutions. Paybox a commencé à se rapprocher de différents éditeurs de SIEM, «un monde que l on connaissait mal». Finalement, son attention s est porté sur la solution de LogRhythm, préconisée par le groupe Point dont fait partie Paybox : «les équipes de LogRhythm nous ont confirmés que leur solution intégrait des éléments préconfigurés répondant à nos besoins, notamment pour les audits annuels de conformité PCI DSS.» Dès lors, les équipes de Marc Thomas ont transmis à l éditeur des fichiers de logs «pour voir comment se comportait leur solution avec nos logs applicatifs». Des logs hétérogènes dans leur structure du fait de développements historiques personnalisés. Et là, Paybox a constaté que «l on pouvait mettre en place facilement des expressions régulières pour créer des alertes, voire des rapports répondant bien à nos besoins». 20