Vers une gestion des risques raisonnée
L entreprise SanS CeSSe ConFRontÉe aux nouvelles MenaCeS L évolution des attaques en réseau suit l adoption des usages web, des infrastructures et des services clouds. Les politiques et pratiques de sécurité doivent s adapter. D epuis 2005, le nombre de codes malveillants téléchargés à l insu de l utilisateur ne cesse d augmenter. Ces logiciels espions (keyloggers, virus ou chevaux de Troie), témoignent d une activité croissante, sousterraine et parrallèle aux transactions légitimes. Internet fourmille de forums d échanges où l on vend des toolkits paramétrables, des informations privées et de faux sites Web, prêts à l emploi, en tous points semblables aux services de votre banque en ligne. Un courriel vous demande une vérification de routine? Attention au piège! Sans soupçonner le moindre subterfuge, de nombreux internautes dévoilent quotidiennement leurs identifiants personnels sur un site qui n est pas celui qu il prétend être. Les attaques en provenance d Internet exploitent volontiers les dernières failles pour aiguiller l utilisateur vers un site illicite ou enregistrer des sessions à distance. Chaque version de navigateur web et chaque version de plug-in connaît ses vulnérabilités. Autre menace classique désormais, le cross-site scripting (XSS) : cette vulnérabilité, enfouie dans un site web, fait passer un code externe pour un service licite et en profite pour dérober les cookies de session de l utilisateur. des pièges patiemment préparés Dernièrement, les menaces persistantes avancées (APT) ont fait couler beaucoup d encre car elles ciblent des ministères (Bercy, le Quai d Orsay...), de grands comptes de l énergie (Areva) ou de l électronique (Sony). Associées aux techniques de contournement, elles déjouent l anti-malware et l outil de prévention d intrusions par leurs nombreuses combinaisons et variantes possibles. Les opérations d espionnage électronique sont préparées en plusieurs étapes autour de ces codes mutants. Le hacker cible d abord un objectif, un serveur puis son réseau. Il y infiltre un ver patiemment, octet par octet, pour passer inaperçu. Il s appuie ensuite sur ce malware pour escalader les privilèges et obtenir des droits d administration sur une machine non mise à jour d où il exportera les données secrètes ou privées. Faute de plateformes coordonnées et d une stratégie de protection globale, la chaîne de services de l entreprise est rarement sécurisée de bout en bout. Les attaques APT- qui forment une menace sérieuse sur la propriété intellectuelle - capitalisent sur cette carence. En pratique, les hackers tirent avantage successivement des failles d exploitation (les patchs tardifs), des brèches d architecture réseau et de la perméabilité des applications web. Ils s appuient sur les places de marché underground, sur une surveillance des messageries publiques, des chats ou des réseaux sociaux pour obtenir des renseignements préalables. Dans ce contexte, il devient difficile de garantir l intégrité de l environnement système et celle du réseau d entreprise. Pour reprendre le contrôle du système, l entreprise doit imposer à l infrastructure globale et aux traitements informatiques une conformité stricte à ses règles d échanges.
des RISqueS LIÉS au CLoud et À La MobILItÉ Le cloud computing et la mobilité font voler en éclat les frontières du réseau d entreprise. Celle-ci doit revoir sa stratégie de sécurité IT avec des outils et des procédures coordonnés. F ace aux cyber-menaces plus fréquentes, l entreprise doit transformer ses défenses ponctuelles en une gestion plus large de la sécurité des informations. En terme de sécurité, il ne s agit pas d investir au-delà de la valeur des activités à protéger. Le RSSI gagne à mieux détecter les événements survenant sur le parc IT. Il améliore sa perception des vulnérabilités, des systèmes et des configurations. L analyse des risques, fondée sur des métriques efficaces, contribue ensuite à résoudre les incidents les plus dommageables pour l entreprise. Ce modèle de maturité assure que les accès, les traitements et les données confidentielles ne tombent pas entre de mauvaises mains. Qu ils agissent localement, de façon autonome, ou dans le respect des consignes d un siège international, les responsables de la sécurité peinent à cerner tous les risques provenant d Internet. A présent, ils sont confrontés à une prolifération de terminaux mobiles, de versions d environnements et de brèches à colmater. En outre, les responsables métiers adoptent, ponctuellement, des services hébergés en modèle SaaS (Software as a Service). Faute de gouvernance globale des risques et de la sécurité, le système d information gagne en souplesse en ce qui concerne la mobilité ou la réactivité, mais perd en cohérence car il devient un ensemble de silos, chacun porteur de risques et vulnérabilités, sans possibilité de visibilité globale. un trampoline entre les serveurs Le hacker dispose d un arsenal d outils pour l ingénierie sociale, les attaques furtives et l exploitation de brèches systèmes. Associé aux renseignements glanés sur la toile, il usurpe rapidement les droits d accès aux applicatifs et aux données numériques pour capter puis revendre des informations confidentielles. Les dernières attaques, plus délicates à repérer, n agissent pas seulement par e-mail. Elles se servent de l infrastructure en place comme d un trampoline pour rebondir entre les serveurs jusqu aux données les plus sensibles. L entreprise oriente parfois son expansion sur Internet. Dans ce cas, la sécurité des transactions du commerce électronique devient sa priorité. Avec la dématérialisation des procédures, toute société est amenée à ouvrir son réseau sur la toile mondiale, ne serait-ce que pour accomplir des formalités légales ou administratives. Dès lors, une vigilance continue s impose pour vérifier les flux de données numériques, porteurs de menaces ou de malveillances éventuelles.
«Le RSSI devient responsable de la gestion des risques» Philippe Fauchay, DG RSA France Les attaques Internet ont-elles changé de cible et de forme? Les attaques mafieuses très sophistiquées ont initialement ciblé le monde de la banque en raison de la possibilité de monétisation immédiate. Même si elles continuent à être une cible importante, les banques sont désormais habituées à cette menace depuis plusieurs années. Ce qui a changé aujourd hui, c est le fait que les attaques ciblent maintenant une entreprise, un groupe industriel en particulier, pour en dérober la propriété intellectuelle. Elles font peu de bruit pour être difficiles à détecter. La clé de voute de toute défense est alors l analyse de risques. Grâce à elle, on gère les investissements en sécurité en fonction des risques métier. Il s agit de mettre en œuvre des protections adaptées à la criticité de chaque activité. Cette approche par les risques est aussi un préalable, pour que l entreprise soit en mesure de connaître rapidement quelles sont les conséquences business d une attaque, une fois qu elle a eu lieu. Comment évolue le métier du responsable de la sécurité informatique? Le RSSI devient responsable de la gestion des risques. Hier encore, c étaient deux fonctions différentes voire deux entités distinctes dans l entreprise. Maintenant, le RSSI peut partir de l analyse des risques pour décider des investissements à faire en terme de sécurité. Pour maîtriser ses deux fonctions, il voit dans l équipe RSA un vrai partenaire. Ses besoins de reporting intègrent dorénavant deux points de vue : technique et métier. Parvient-il à cloisonner les sphères professionnelles et privées des utilisateurs? C est une priorité à présent en ce qui concerne les terminaux mobiles. Ils se connectent sur n importe quel site, réseau social ou service hébergé et de retour au bureau, ils peuvent infecter le réseau d entreprise. La virtualisation du poste de travail, permet de traiter les impératifs de sécurité, en aidant à dissocier la couche physique de la couche logique. Le chiffrement des données sensibles complète ce dispositif. Comment renforcer les accès et surveiller tout ce qui se passe sur le réseau? En terme de sécurité des accès, la ligne de protection des identités de RSA offre un large choix de moyens d authentification pour répondre à toutes les contraintes et types de populations accédant aux informations de l entreprise. L approche par le risque est un élément majeur aussi dans les solutions d authentification RSA, puisque nous proposons une authentification forte basée sur le risque qui ne nécessite aucun déploiement de tokens. Elle est particulièrement adaptée aux entreprises ayant un besoin de sécuriser l accès de très larges populations vers des portails par exemple (portail bancaires, site e-commerce..) mais également pour les PME en raison de sa facilité de gestion et sa transparence pour l utilisateur final. Pour surveiller les attaques complexes non détectables par les approches traditionnelles de sécurité (anti-virus, anti-intrusion,..), RSA NetWitness propose la capture de tous les paquets réseaux et des analyses très avancées. On détecte ainsi tous les comportements anormaux, les activités suspectes, les logiciels malveillants y compris les malwares zero day, encore inconnus des antivirus. Et, si un incident est identifié, les traces et la possibilité de rejouer les sessions permettent non seulement de connaître les impacts, mais aussi les causes pour mettre en place très rapidement une remédiation. La protection contre les fuites de données restera-t-elle un projet de longue haleine? En Europe et en France, on rencontre maintenant des projets concernant des sociétés industrielles soucieuses de protéger leur propriété intellectuelle. Ils prennent plus de temps que les projets de conformité menés aux USA car ils sont construits dans le temps ; ils exigent une vraie classification de données et une véritable analyse de risques.
un SoCLe de gouvernance et de SÉCuRItÉ It Face aux risques émergents, imbriqués les uns dans les autres, RSA aide l entreprise à garder le contrôle avec une visibilité continue et une traçabilité des activités ayant lieu sur le système d information. D éterminés, organisés, bien renseignés et très outillés, les cybercriminels peuvent s introduire dans les systèmes d informations les mieux protégés et y puiser les données stratégiques, de propriété intellectuelle, ou autre qu ils jugent monnayables sur le marché de l underground. Une véritable gestion des risques s impose désormais avec une visibilité complète sur les incidents de sécurité et informatiques et leurs conséquences sur les services métier. Il s agit de surveiller tout ce qui se passe réellement sur le réseau et d offrir des parades adaptées à chaque risque identifié. C est exactement ce que propose la plate-forme RSA Archer egrc : un socle de gouvernance pour tous les domaines constituant l entreprise, à savoir l informatique, la finance, le juridique,. Il présente sous forme de tableaux de bord les informations de suivi et de visibilité attendues par les divers responsables. Pour les équipes informatiques et sécurité RSA Archer egrc permet d avoir une vision claire via ces tableaux de bords de la conformité, de la sécurité des flux d informations, des incidents et de leur remédiation. La gestion des incidents de sécurité Les clients de la plateforme Archer egrc bénéficient d un suivi des incidents de sécurité diffusant l évolution des menaces, grâce au workflow intégré. Ils peuvent mesurer précisément l impact de chaque menace sur leurs activités. Ils sont aussi en mesure de vérifier la conformité des configurations de leurs serveurs et de leur infrastructure. Enfin, ils rationalisent les réponses aux incidents grâce à la coordination des solutions RSA. En cas d attaque ou de comportement anormal sur une application ou un accès aux données, l alerte est immédiatement déclenchée. Le moindre incident est journalisé. Du coup, des rapprochements permettent de déterminer la sévérité du risque et de traduire son impact sur les échanges métier de l entreprise. Pour chaque niveau de risque, des procédures et des outils sont alors mis en place afin de régler automatiquement le problème ou d en atténuer les effets. En coulisse, les solutions d authentification basées sur le risque, de monitoring continu du réseau, de SIEM, et de prévention contre les fuites de données (DLP) de RSA sont coordonnées. Les règles de filtrage évoluent avec le temps pour renforcer le réseau d entreprise tandis que les échanges confidentiels avec les partenaires et les utilisateurs mobiles sont chiffrés selon les règles propres à l organisation. Le comportement de l infrastructure suit enfin les priorités propres à chaque métier. La traçabilité de bout en bout Grâce à Archer egrc, l administrateur dispose d outils de surveillance bien plus puissants que de simples journaux. Des analyses comportementales et une corrélation d informations procurent les bons leviers au bon moment pour optimiser le filtrage XML, rétablir ou basculer des services endommagés, le plus souvent, de façon transparente pour l utilisateur. Toute la chaîne de services de l entreprise est sécurisée de bout en bout. En outre, la traçabilité des flux de données devient complète ; elle s étend aux prestataires du système d informations. Ainsi, chacun sait qui accède à quel service, quand et depuis quel emplacement. Avec RSA Archer egrc, l ensemble des technologies, solutions et services mis en œuvre dans le système d information sont placés sous surveillance, y compris les prestataires de l infrastructure et des services cloud. Contrats d engagement et niveaux de services sont ainsi vérifiés et comparés aux trafics en temps réel.
À propos de RSa R SA est le premier éditeur de solutions de sécurité, de gestion du risque et de la conformité. En aidant les entreprises à relever leurs défis les plus complexes et les plus critiques en matière de sécurité, RSA contribue au succès des plus grandes entreprises mondiales. Ces défis incluent la gestion des risques opérationnels, la protection des accès mobiles et de la collaboration, la preuve de conformité et la sécurisation des environnements virtuels et cloud. Combinant des contrôles critiques métiers dans la gestion des identités, la prévention des pertes de données, le chiffrement et la tokenisation, la protection contre la fraude, ainsi que le SIEM à des fonctions de GRC et des services de consulting, RSA apporte la visibilité et la confiance à des millions d identités utilisateurs, aux transactions qu elles réalisent et aux données générées. RSA Immeuble River Ouest 80 quai Voltaire 95870 Bezons France Tel : 01 39 96 90 00 Fax : 01 39 96 97 77 france.rsa.com Contact : Yamina Perrot : yamina.perrot@rsa.com Béatrice Petit : beatrice.petit@emc.com