Alliance Healthcare : automatiser pour mieux fluidifier les processus

Transcription

1 N 6 Alliance Healthcare : automatiser pour mieux fluidifier les processus page 12 N 6 - Mars 2014 POSTES DE TRAVAIL Fin du support de Windows XP : quelles conséquences pour les entreprises? BYOD : les quatre approches possibles PROCESSUS MéTIeRS Pourquoi automatiser l exécution des processus métiers? BPM : une question de compétences MéTIER Les cent premiers jours du DSI Sept bonnes raisons pour élaborer un rapport annuel de la DSI Soirée Best Practices : zoom sur les grandes erreurs stratégiques RELATIONS FOURNISSEURS Tierce maintenance applicative : anticiper les questions des DG Contrats de licence Oracle : les points d attention ERP : cinq questions clés et cinq idées reçues MANAGEMENT DU SI Les trois pièges du cloud computing Les métiers investissent l'architecture d'entreprise Architecture d entreprise : une démarche agile chez Chorégie page 28

2 Fin du support de Windows XP : quelles conséquences pour les entreprises? Par Aurélie Chandèze En 2014, la «Saint-Hacker» tombe le 8 avril, date à laquelle Microsoft cessera le support de son système d exploitation Windows XP. Ouvrant ainsi la porte aux pirates informatiques qui ne manqueront pas d exploiter les failles de sécurité. À moins que les postes de travail ne soient correctement protégés. Le 8 avril 2014, Microsoft arrête définitivement le support du système d exploitation Windows XP, vieux de treize ans. Concrètement, cela signifie la fin des mises à jour de sécurité et des autres types de correctifs, qui concernaient non seulement le système, mais aussi les applications associées (Internet Explorer, Office ). Par ailleurs, il ne sera plus possible de souscrire aux services de support standard qui étaient proposés jusqu alors. Malgré cela, une proportion non négligeable de terminaux opèrent encore sous Windows XP (Voir graphique page 26). Ainsi, en décembre 2013, le site de statistiques NetMarketShare comptabilise encore 29 % d ordinateurs sous ce système d exploitation. Parmi ceux-ci, combien appartiennent à des entreprises? Sur son blog, l analyste de Forrester Christopher Sherman, spécialiste des questions de sécurité, estime que les organisations ont encore en moyenne 20 % de leurs terminaux fonctionnant sous XP, s appuyant pour cela sur les résultats de l enquête Forrsights Hardware Survey du troisième trimestre En avril 2013, Michael Silver et Steve Kleynhans, vice-présidents au sein du groupe d analystes Gartner ont estimé, quant à eux, que plus de 15% des grandes entreprises et PME auront encore au moins 10 % de leurs ordinateurs sous Windows XP à la date du 8 avril La migration, une tâche à la complexité souvent sous-estimée Comme le montrent les chiffres, beaucoup d entreprises n ont pas encore migré l ensemble de leur parc. Pour certaines, c est simplement une question de temps. Néanmoins, pour celles qui n ont pas encore démarré le passage à un système plus récent ou qui ont accumulé du retard, il est peut-être déjà trop tard. En effet, comme l indique Christopher Sherman, il faut à la plupart des organisations entre 18 et 32 mois pour achever la migration, un délai difficilement conciliable avec la proximité de l échéance. En effet, migrer vers un système d exploitation plus récent ne s improvise pas, d autant plus que ces projets sont souvent plus complexes, et donc coûteux, que prévu. Il faut ainsi : mettre en œuvre une série de tests préalables pour s assurer que les applications fonctionnent normalement sur le nouveau système, sauvegarder les données des utilisateurs, concevoir un ou plusieurs nouveaux masters pour servir de configuration de référence, effectuer le déploiement, les installations et la restauration des données, le tout en essayant de minimiser la période d indisponibilité pour les utilisateurs. En aval, il faut également prévoir et organiser la formation des utilisateurs. Pour d autres entreprises, l enjeu est plus délicat encore, car il arrive que la migration nécessite bien plus que le processus décrit précédemment, voire qu elle ne soit tout simplement pas envisageable. De nombreux secteurs concernés C est le cas par exemple dans certaines industries sensibles, comme le secteur de la défense ou de l énergie, qui développent des applications devant fonctionner de manière absolument stable sur de très longues périodes. Une fois ces applications testées et validées sur un système d exploitation, celles-ci ne doivent plus évoluer. 2 IT Business Review - N 6 - Mars 2014

3 Dans ces industries, les postes de production ont ainsi des cycles de vie s étalant sur plusieurs décennies. De manière plus générale, beaucoup d entreprises s appuient sur des systèmes ou des terminaux nettement moins aisés à migrer qu un simple poste de travail. Parmi ceux-ci figurent notamment certains systèmes SCADA (Systèmes de contrôle et d acquisition de données), utilisés par un grand nombre d industries et de services comme les transports, notamment pour la télésurveillance de leurs équipements. Les banques ne sont pas non plus épargnées Ainsi, un article du quotidien La Tribune (22 janvier 2014) révèle que 95 % des distributeurs automatiques de billets dans le monde fonctionnent sous Windows XP. De manière générale, un grand nombre de systèmes de paiement, utilisés dans le secteur de la distribution et ailleurs, fonctionnent aujourd hui sous Windows XP : caisses enregistreuses, bornes de péage ou d achat de billets, etc. Certains de ces terminaux sont également certifiés pour se conformer à différents standards, notamment PCI DSS (Payment Card Industry Data Security Standard). A l arrêt du support, non seulement ces terminaux vont devenir bien plus vulnérables, mais les entreprises risquent également de perdre leur certification avec des conséquences financières, par exemple des manques à gagner. Pour toutes ces entreprises, l arrêt prochain du support de Windows XP peut avoir des conséquences lourdes. Comme le souligne Microsoft lui-même, les environnements non supportés et non patchés sont vulnérables, faisant peser des risques sur la conformité et la sécurité des entreprises. Actuellement, ce sont en moyenne deux vulnérabilités majeures notées comme critical qui sont découvertes chaque mois sur Windows XP et les applications associées. A l arrêt du support, ces failles ne seront plus corrigées et les bulletins d alerte de l éditeur cesseront! Chaque nouvelle vulnérabilité découverte restera donc exploitable indéfiniment. Les groupes criminels spécialisés dans le piratage informatique pourront également exploiter les informations fournies par les patchs destinés aux systèmes Microsoft plus récents pour identifier de nouvelles failles sur Windows XP. Les environnements demeurant sous Windows XP deviendront alors particulièrement exposés, étant soumis en permanence au risque d attaque zero day : des attaques exploitant des failles non connues du public et pour lesquelles aucun correctif n est disponible. Des risques bien réels Enfin, il ne faut pas négliger le fait que ces terminaux fonctionnant sous XP, même lorsqu' ils n hébergent pas d'applications sensibles, vont devenir une cible de choix pour accéder au reste du réseau. Ce type d attaque est qualifié de menace persistante avancée, ou APT (Advanced Persistent Threat). Dans le cadre d un entretien pour le site ZDNet en juin 2013, Roy Illsley, analyste du groupe Ovum, prévient précisément les entreprises contre ce type de menaces : «Si vous avez une application particulière qui tourne sous XP, il s agit alors de dresser une clôture autour de celle-ci afin que, si le poste est infecté, le problème ne se répande pas ailleurs.» Quelles sont les conséquences de ces attaques potentielles? En premier lieu, celles-ci peuvent menacer directement le bon fonctionnement des systèmes et des applications métiers, avec des conséquences immédiates sur les activités ou le chiffre d affaires de l entreprise. En décembre 2013, la presse spécialisée a relaté par exemple une série d attaques survenues en Europe, exploitant une faille des distributeurs automatiques de billets fonctionnant sous Windows XP. Les criminels savaient où percer la façade pour accéder à un port USB et introduire ainsi un programme malveillant qui leur permettait ensuite de vider les machines. «Ce n est pas nouveau, mais c'est toujours observé de façon inquiétante», confirme le colonel Éric Freyssinet, chef de la division de lutte contre la cybercriminalité au pôle judiciaire de la Gendarmerie Nationale. Un risque pèse également sur la sécurité des données sensibles, notamment celles des clients. En cas de vol, la responsabilité de l entreprise pourrait être mise en cause, sans compter les conséquences en terme de réputation. Enfin, les entreprises ayant fait certifier certains de leurs systèmes pour répondre à des contraintes légales risquent de perdre leur certification en cas d audit, la conformité n étant plus assurée si elles changent de système ou si elles laissent N 6 - Mars IT Business Review 3

4 Le poids des différents systèmes d exploitation sur les postes de travail Source : NetMarketShare, décembre 2013 le système d exploitation actuel ouvert aux menaces. Des alternatives pas toujours adaptées aux enjeux Pour se prémunir contre ces menaces, plusieurs solutions existent afin de maintenir les systèmes en conditions opérationnelles. Cependant, toutes ne sont pas égales, que ce soit en termes de faisabilité, de coût, que de niveau de risque résiduel. Migrer avant la date limite La meilleure option reste bien entendu d achever sa migration avant le 8 avril Malheureusement, comme nous l avons vu, toutes les entreprises ne peuvent pas forcément opter pour celle-ci, sans compter qu une migration sur grande échelle représente un certain coût. Le cabinet Gartner estime par exemple que le passage de Windows XP à Windows 7, pour une entreprise possédant postes, représente un coût situé dans une fourchette allant de à dollars par poste. La priorité pour les entreprises qui ne peuvent plus migrer dans les temps est alors d évaluer le nombre de terminaux qui resteront sous Windows XP passé l échéance. Souscrire une prolongation du support : des surcoûts à prévoir Afin de continuer de bénéficier de correctifs, certaines entreprises envisageront peut-être de souscrire auprès de Microsoft une extension du support, dans le cadre du programme Custom Support. Néanmoins, celui-ci risque de se payer au prix fort : dans un article de Computerworld d août 2013, Michael Silver et Stephen Kleynhans, analystes de Gartner, indiquent ainsi le chiffre de 200 dollars par poste la première année. Les experts s attendent également à ce que ce coût augmente régulièrement afin d inciter les clients à migrer sur les systèmes plus récents. Par ailleurs, toujours selon Computerworld, ce programme ne porterait que sur les failles identifiées comme critical, les autres types de vulnérabilités n étant pas automatiquement corrigées, notamment celles notées comme «important» ou celles liées aux applications installées sur Windows XP, dont certaines ne sont pas éditées par Microsoft comme les lecteurs PDF, Java, Flash... Pour une entreprise, cette solution semble donc difficilement justifiable autrement que pour une période très courte, le temps d achever la transition. Gérer une liste blanche d applications Une autre solution, notamment mise en avant par les éditeurs d antivirus, consiste à gérer une liste blanche d applications reconnues comme sûres. Si cela permet de prévenir l installation d un certain nombre de programmes malveillants, cette solution ne suffit pas à prémunir contre l ensemble des menaces, comme prévient l analyste de Forrester Christopher Sherman : «Les technologies qui ne s appuient pas sur des listes noires, comme les listes blanches, la gestion des privilèges ou les techniques d isolation, vont continuer à offrir un certain niveau de protection, mais ces solutions ne seront pas tenables sur le long terme alors que de plus en plus de vulnérabilités vont demeurer non corrigées.» En effet, si les codes malveillants s exécutent directement dans des 4 IT Business Review - N 6 - Mars 2014

5 Source : Statcounter Windows XP représente encore 20 % du parc d ordinateurs programmes autorisés, par le biais de documents PDF ou par le navigateur par exemple, rien ne garantit qu ils soient stoppés. De plus, comme le note Christopher Sherman, «une fois que Microsoft aura mis XP "à la retraite", attendezvous à ce que plusieurs des éditeurs d antivirus cessent peu à peu leurs efforts consacrés à la protection de ce système. Beaucoup d éditeurs d applications tierces vont probablement arrêter de publier des patchs de sécurité pour leurs propres applications sur XP, laissant un environnement parfaitement propice aux hackers.» S ils ne sont plus mis à jour et corrigés, les logiciels antivirus et autres pare-feux pourront en effet d autant plus facilement être désactivés. Isoler les machines vulnérables dans une zone démilitarisée Une solution peut consister également à isoler les machines vulnérables dans une zone démilitarisée, ou DMZ (DeMilitarized Zone), où elles seront coupées d Internet et du réseau de l entreprise. L objectif en ce cas est double : éviter à des personnes malintentionnées d y accéder et, si ces terminaux sont malgré tout contaminés par un virus ou un malware, éviter qu ils ne servent de porte d entrée sur le reste du réseau de l entreprise. Néanmoins, dès lors que ces terminaux hébergent des applications qui doivent accéder au réseau, cette solution est difficilement envisageable. Par ailleurs, comme l illustre le cas des distributeurs automatiques de billets cité plus haut, aucun terminal ne peut être complètement coupé du monde : les ports USB, les lecteurs de disques, de cartes ou un simple câble branché entre deux postes pour une intervention de routine, peuvent suffire à introduire une menace. Virtualiser les environnements sous XP La virtualisation des postes de travail permet d isoler les environnements fonctionnant sous Windows XP en les exécutant dans une machine virtuelle, elle-même déployée sur un système plus récent et supporté. Elle permet ainsi aux applications critiques fonctionnant sur XP de continuer à être utilisées sans faire peser de risques sur l entreprise. Néanmoins, cette solution suppose que les environnements matériels concernés puissent être équipés du nouveau système d exploitation et de machines virtuelles, ce qui n est pas forcément le cas de l ensemble des terminaux concernés. Une sécurité gérée de manière proactive Si les différentes alternatives évoquées peuvent répondre à une partie des préoccupations des N 6 - Mars IT Business Review 5

6 entreprises, aucune ne peut réellement garantir un niveau de protection à la fois durable, à effet immédiat et à un coût maîtrisé. Pour les organisations qui n auront pu migrer avant l échéance du 8 avril 2014, il existe cependant une solution capable de tenir compte de leurs exigences et de leurs contraintes. La solution ExtendedXP, conçue par Arkoon-Netasq, a été mise au point spécifiquement pour adresser les préoccupations des entreprises confrontées aux problématiques décrites plus haut. Cette offre repose sur deux briques : Le moteur StormShield, un système HIPS (Host-based Intrusion Prevention System) installé sur les postes de travail, qui utilise des technologies d analyse comportementale pour détecter en temps réel et tuer tout processus au comportement suspect, permettant la mise en place d une protection proactive. Un service de veille assuré par une équipe dédiée d experts en sécurité, qui informe les entreprises sur les nouvelles menaces détectées sur Windows XP. Cela répond aux préoccupations des responsables de la sécurité du système d information (RSSI) en leur permettant de connaître les menaces concernant leurs systèmes, leur niveau de protection face à celles-ci et le niveau de risque résiduel. Carte de visite Edouard Viot Chef de produit de la gamme StormShield Arkoon-Netasq 49, rue de Billancourt Boulogne-Billancourt Tél Mail : eviot@arkoon.net Les six scénarios possibles Scénario Avantage Inconvénients 1. Migrer avant la date limite Limiter les risques Les coûts directs et indirects La complexité C est trop tard 2. Souscrire à une prolongation du support 3. Gérer une liste blanche d appli cations considé - rées comme sûres 4. Isoler les machines dans une DMZ 5. Virtualiser les environ - nements sous XP 6. Gérer de manière proactive la sécurité avec une solution dédiée Limiter les risques Bloquer l accès aux applications considérées comme non sécurisées Éviter, en théorie, les contaminations via les réseaux Déployer des machines virtuelles dans un environnement mieux sécurisé et maintenu Protéger complètement les environ - nements XP Utiliser des approches d analyse comportementale pour identifier les vulnérabilités Une protection en temps réel Un ROI élevé par rapport aux risques Aucune certitude sur l évolution de la facturation Ne concerne que les failles critiques identifiées Ce n est pas une option pour le long terme Ne protège pas contre toutes les failles Nécessite des mises à jour fréquentes Ce n est pas une option à long terme Solution peu adaptée aux postes qui doivent être connectés Les risques d infection subsistent Nécessite des migrations de systèmes d exploitation pour les matériels concernés Aucun 6 IT Business Review - N 6 - Mars 2014

7

8