Sept grands groupes face aux défis de la sécurité Sept groupes expliquent comment ils adaptent l approche de la sécurité de leurs systèmes d information face aux menaces actuelles et aux nouvelles exigences des métiers. Des témoignages recueillis à l occasion des Assises de la Sécurité 2012 et des RIAMS 2013.
Fabrice de Biasio, DSI d Europe Airpost, dresse le portrait d une entreprise qui a considérablement changé avec le temps. Un temps exclusivement dédiée au transport aérien du courrier entre Paris et la province, l entreprise s est ouverte au transport de passagers jusqu à ce qu il représente près de la moitié de son activité, avec près d un million de passagers par an, pour des tours operators - «nous sommes la seconde compagnie aérienne de l Hexagone derrière Air France», affirme ainsi Fabrice de Biasio. Cette évolution menée à un rythme soutenu a impliqué de nombreux défis. A commencer par une réorientation radicale de l IT : «passé d un centre de coûts à une démarche de centre de profits», dans une optique «d alignement sur la stratégie du groupe». Cela s est traduit, en 2008, par «une refonte complète du réseau», avec le déploiement d outils Websense, F-Secure et Proofpoint pour sa sécurité, et d équipements Cisco, dont «deux cœurs de réseau alimentant chacun une salle de production informatique - nous avons des salles en redondance actif/actif dans deux bâtiments distants, interconnectés par un lien gigabit», explique le DSI de l entreprise. Rattrapé par la consumérisation Mais l environnement informatique plus général a aussi évolué : «l arrivée des iphone et des tablettes ont fait émerger de nouvelles problématiques et nous avons du trouver les moyens de donner satisfaction à nos utilisateurs», explique Fabrice de Biasio. Cela impliquait en particulier de leur donner un accès à Internet, ne serait-ce que pour supporter la mise à jour des terminaux. Les outils de sécurité précédemment déployés ont alors montré leurs limites : «on gérait les règles de sécurité en fonction des adresses IP mais il nous fallait les gérer en fonction des applications.» En outre, Europe Airpost devait se conformer à certaines règles légales, «au niveaux des logs de connexion et de leur conservation, notamment». C est ce qu ont permis les outils de Palo Alto Networks : «c est fiable et la gestion des règles se fait suivant les applications. C est une réponse simple et efficace à nos problématiques.» D autant plus simple que, souligne-t-il, tout l équipement de sécurité est ici «réduit à deux appliances. Nous avons supprimé de nombreux équipements actifs, ce qui a réduit les risques et les coûts. Nous Page 1 of 20
avons fait mieux, plus efficace et moins cher». Un déploiement «assez court, en deux mois» et surtout «quasiment sans coupure; on a presque fait de la migration à chaud», explique Fabrice de Biasio. Qui souligne au passage que ce choix permet «de rationaliser et de sécuriser les accès à Internet tout en gérant la problématique des terminaux mobiles et des invités». Un accès à Internet qui n était assuré que par deux liens à 2 Mbps il y a quelques années et qui offre aujourd hui une bande passante d un gigabit - «les précédentes appliances de sécurité constituaient un goulot d étranglement». Une infrastructure totalement virtualisée L approche centrée sur l efficacité et la réduction des coûts a été étendue à d autres domaines : «nous avons virtualisé l ensemble de l infrastructure. En 2008, environ 25 serveurs sur une centaine étaient virtualisés, avec un peu de Citrix. Nous avons choisi de passer à 100 % sur VMware.» Le tout avec des serveurs lames et une infrastructure de stockage «à l identique, avec DataCore pour lui ajouter une couche de virtualisation». En 2010, Europe Airpost a poursuivi le travail, «en virtualisant les postes de travail avec VMware View dans une optique de standardisation de l environnement. Les applications ont été virtualisées avec ThinApp. Aujourd hui, lorsque l on installe un poste de travail, c est une question de quelques clics, en somme». Les fruits d un chantier lourd qui a duré rien moins que deux ans, malgré le recours à PowerFUSE, de Res Software, pour fluidifier la conduite du changement et la gestion des environnements utilisateur. La sécurité des postes de travail virtuels est assurée par l anti-virus de Kaspersky - «nous sommes en train de migrer vers sa version adaptée à vshield; nous pourrons supprimer les agents résidents dans les VMs». Fluidifier l administration Depuis la fin 2012, l entreprise a même entrepris de supprimer les clients lourds : «on propose d échanger le couple portable/dock par un client léger Wyse doublé d une tablette tactile.» Et à ceux qui s inquièteraient de la connectivité, il répond simplement que «la 3G et le WiFi sont largement disponibles ; notre personnel est très rarement déconnecté. Je ne me Page 2 of 20
souviens pas d'avoir utilisée ma carte 3G au cours des douze derniers mois». En outre, sur les tablettes, Europe Airpost mise sur la dualité entre applications utilisables en mode connecté - applications Web et VDI - et applications natives supportant un mode déconnecté. Plus loin, l entreprise commence à passer sur Office 365, misant donc sur les applications en mode SaaS. Un dispositif de SSO a d ailleurs été déployé pour simplifier l utilisation de l environnement, avec une solution d Imprivata. Et tout à sa logique d optimisation de son infrastructure, tant pour les utilisateurs que pour l exploitation, Fabrice de Biasio explique avoir récemment fini la mise en place de ServiceNow «comme portail de gestion de l IT». Page 3 of 20
Présentant son projet sur les Riams, Michaël Fiey, responsable groupe des programmes IT Security, souligne la variété des populations représentées chez ArcelorMittal : 250 000 employés dont 25 000 mobiles, répartis dans plus de 60 pays, avec des équipes métiers et IT, des personnels fixes et d autres hyper-nomades, certains équipés en outils informatiques et d autres pas. Jusque là, le groupe apportait des «réponses hétérogènes aux besoins de sécurisation des accès distants et l absence de solution groupe pouvait constituer un frein à l ouverture demandée». Sous la pression d une menace externe de plus en plus pressante - le géant de l acier aurait fait l objet «d un certain nombre d attaques en 2012» -, sécuriser l accès aux applications et à la messagerie devenait essentiel. D autant que «énormément d informations très sensibles sont échangées» par courrier électronique. Dans cette même logique, le projet d authentification forte d ArcelorMittal devait aussi répondre à des objectifs de flexibilité, pour permettre, par exemple, l enrôlement dans le SI de personnels non équipés de postes informatiques, depuis l extérieur, à l instar d ouvriers souhaitant accéder au portail RH depuis leur domicile. Le choix d une solution Cloud Michaël Fiey s est donc retrouvé dans l obligation de trouver une solution répondant «de manière globale aux besoins du groupe, sous la forme d'un service» : la construction d'une offre packagée capable de s'adapter aux nouveaux usages comme la mobilité, le BYOD et le travail à domicile. Le tout, avec une contrainte forte de rapidité de déploiement et une «partie budgétaire évidemment très regardée, avec un objectif d'économies d'échelle». C est donc vers la solution d authentification forte en mode Cloud de CA Technologies qu il s est tourné : «le Cloud a permis de minimiser les investissements en phase de démarrage, notamment» mais aussi de réduire les phases d architecture et de test de, tout en offrant une mise en production rapide, avec une structure de coûts flexible. Pour autant, «les divisions gardent le contrôle des autorisations». Seule l authentification forte est ici externalisée dans le Cloud et «la délivrance et la révocation des accès Page 4 of 20
sont gérées via le référentiel central des identités du groupe». Peu de données se retrouvent in fine gérées dans le nuage de CA Technologies. Une contractualisation très complexe En fait, le volet technique ne semble pas avoir été le plus lourd, car Michaël Fiey fait état sans ambages d une «partie contractualisation cauchemardesque». Et d expliquer que les discussions ont été nombreuses, notamment sur l évaluation de la sécurisation de l offre, en partie impossible avant la signature du contrat en raison de la certification SAS 70. Une clause au contrat a ainsi été ajoutée, permettant de le dénoncer si jamais l évaluation, à postériori, ne s avérait pas satisfaisante. Les échanges ont également été importants autour des questions «de devoir d alerte en cas de compromission de leur plateforme, en lien avec la protection des données personnelles». Et en particulier sur le délai d alerte. «Nous souhaitions être alertés très rapidement», explique Michaël Fiey. Le délai exact ne sera pas mentionné, tout juste saura-t-on qu il est «relativement acceptable» mais «très loin» des 4h. En attendant, le responsable groupe des programmes IT Security d ArcelorMittal semble satisfait des durées maximales d interruption de service (RTO) et de la fenêtre de sauvegarde en cas de panne (RPO) : moins de 4 et 8 heures respectivement. Sans compter sur un engagement pris sur les délais d authentification : moins d une seconde pour 90 % des cas; et 100 % des cas inférieurs à 2 secondes. En cas de non respect du niveau de service, «pas de notion de pénalité mais plutôt de rupture comme une non facturation du service». Un déploiement progressif Au final, Michaël Fiey reconnaît avoir eu des exigences «très élevées, probablement plus que pour un projet on-premise». Ce qui a conduit à une réécriture massive du contrat. Et CA Technologies le reconnaît bien volontiers : «c est un marché jeune; on apprend aussi avec nos clients, même si l on a besoin d un cadre de départ.» Cadre que l éditeur affirme d ailleurs avoir fait évoluer à la suite de ses échanges avec son client. Le projet d ArcelorMittal est actuellement en phase pilote. Le déploiement «corp» est prévu de juillet à janvier 2014 avec, en parallèle, le déploiement Page 5 of 20
en Europe, jusqu à l automne 2014. Le reste des implantations du groupe suivra, le temps d impliquer les équipes locales et de suivre le déploiement de son système de gestion des identités et des accès, démarré en 2011. Page 6 of 20
de la complexité de L impulsion est venue du service de l inspection, explique Jean-Marc Cir, de la Banque de France, à l'occasion d'un atelier sur les RIAMS qui se sont déroulés fin mai à Saint-Tropez. Il précise que la gestion des traces informatiques de l organisme manquait alors, début 2012, «de sérieux». Et de dresser rapidement les grandes lignes d un système largement hétérogène composé «d une multitude d outils», à la maintenance complexe et consommatrice de ressources. Et puis, «collecter et agréger des traces, c est très compliqué. Nous ne pouvions pas le faire avec nos outils. Et il fallait aussi normaliser les traces». Et pour y remédier, il a fallu faire vite : «grosso modo, nous avons eu six mois» avec une exigence de mise en production d un véritable système de gestion des informations et des événements de sécurité (SIEM) à fin 2012. La réflexion a tout de suite éveillé un vif intérêt : «nous nous sommes aperçus qu avec un SIEM, on pouvait aller plus loin, au-delà de l investigation, vers de l archivage légal» - six mois aujourd'hui, mais un an, sinon plus, à terme - ou encore obtenir «des alertes en temps réel. C est aussi quelque chose d important; avec les outils précédents, nous étions plutôt à J+1». Le choix d une solution évolutive La contrainte des délais a conduit Jean-Marc Cir et ses équipes à se tourner vers le catalogue de l Ugap et, partant, vers Sentinel de NetIQ. Cette solution a notamment été retenue pour son évolutivité, tant technique que commerciale : «elle s appuie sur des collecteurs déportés et on peut donc faire évoluer l architecture à mesure que l on étend le périmètre couvert», mais également segmenter les rôles des serveurs entre consolidation et corrélation/présentation. Des serveurs peuvent également être ajoutés pour gérer la croissance de la. En outre, «les licences sont facturées en fonction du nombre d incidents par seconde traités» et donc, encore une fois, en fonction du périmètre concerné. Ce qui a permis à la Banque de France de commencer «avec une architecture vraiment minimaliste», centrée sur Page 7 of 20
quelques serveurs Unix, quelques pare-feux, le système de gestion des identités des accès (IAM) et, surtout, l application «très sensible» Target II - «un système reliant des banques centrales européennes et qui gère en temps réel toutes les opérations en règlement brut». Pour l heure, l application traite 350 000 opérations par jour pour un volume de l ordre de 200 Md. Une difficile Compte tenu de la culture maison et de la sensibilité des applications, l externalisation n était pas envisageable. Mais le déploiement en interne n a pas été un long fleuve tranquille. Jean-Marc Cir le reconnaît volontiers : «honnêtement, tout seul, ce n est pas possible.» Et de saluer la disponibilité et la réactivité des équipes de NetIQ, tout en soulignant l importance du «balisage du périmètre couvert» et de la «définition de l architecture» : des étapes qu il qualifie de «fondamentales. Si c était à refaire, j y consacrerai plus de temps, quitte à finir en retard». Sentinel n est ainsi pas livré sous forme d appliance mais d application. Et là, la configuration joue un rôle clé. Les services de NetIQ ont ainsi été fortement impliqués dans l optimisation du système d exploitation utilisé par le serveur Sentinel pour améliorer l utilisation de la mémoire vive ou encore réduire les pertes de traces, notamment sur l agent Snare pour Windows - utilisé dans l attente de Sentinel 7.1. Mais les équipes de NetIQ sont également intervenues pour développer un parser de traces pour les équipements de Palo Alto - module désormais intégré à l offre Sentinel et à son cycle de développement. Mais à la mise en production début janvier, la solution n était pas encore totalement satisfaisante. Finalement, c est un sous-dimensionnement de l architecture qui a été diagnostiqué et il a été décidé de dissocier, sur deux serveurs, la collecte, d une part, et le reporting et la présentation, d autre part. Une architecture effectivement déployée depuis la fin mai. Entre temps, le module de présentation avait dû être désactivé. Page 8 of 20
La version 7.1 de Sentinel devrait sensiblement améliorer la situation avec une capacité de traitement bien supérieure, à configuration égale, et l intégration d agents pour les serveurs Windows supportant le parsing, la compression et le chiffrement des traces remontées. De premiers résultats Si Jean-Marc Cir fait état de résultats pour l heure limités, il souligne des apports techniques : «cela nous a permis d identifier des manques d optimisation dans la configuration de pare-feux qui renvoyaient des quantités considérables d événements.» Un lot deux doit consister en un élargissement du périmètre, avec tous les serveurs Windows, les anti-virus, les IPS (Intrusion Prevention System), et plus généralement toute l infrastructure sur laquelle reposent les accès à Internet. Et, pour fiabiliser l ensemble, la Banque de France prévoit de mettre en place une architecture à haute disponibilité de type actif/actif et distribuée. Surtout, la corrélation des événements de sécurité est attendue avec ce second lot du projet. Page 9 of 20
traçabilité des identités Michel Wurtz, responsable Maîtrise d ouvrage sécurité chez Natixis, dresse le tableau : le groupe bancaire compte plus de 22 000 utilisateurs, répartis sur de nombreux sites, en France métropolitaine comme à l international, au sein d une myriade d entités. Et là, il faut compter avec de nombreux référentiels, «inexistants» ou qui existent mais sont «parfois incomplets», et même des processus variés «parfois conflictuels.» De manière synthétique, il résume une situation peu glorieuse : la traçabilité est «quasi inexistante et en tout cas faible.» Quant au provisionnement des utilisateurs, il n est guère plus tendre : «un existant multiple et varié» entre véritables outils de provisioning et simples éléments de «synchronisation.» Et de conclure, sans appel : «au final aucune vision consolidée des droits, des accès, des personnes. Du pain béni pour les auditeurs.» C est donc là qu intervient le projet Thor de Natixis, lancé début 2012 : il doit permettre de maîtriser l accès aux applications et données critiques tout en répondant aux besoins d audit internes et externes, et en unifiant pratiques et processus d habilitation. Dans son document de référence 2012, le groupe explique que ce projet «vise à améliorer, dans le cadre d une automatisation accrue, les processus de délivrance d habilitations, de maintenance des référentiels d habilitation, et de contrôle.» Tout en indiquant que «le déploiement par métier est prévu en 2013 et 2014.» Concrètement, la mise en production est aujourd hui prévue pour la mi-juin après validation d un pilote lancé au sein de Banque Privée 1818. Miser sur les utilisateurs Michel Wurtz souligne l attention portée aux utilisateurs finaux : «l objectif est que l outil soit accepté par les utilisateurs.» Dès lors, l ergonomie a été définie comme l un des critères les plus importants pour le choix de la solution : «nous avons confronté des utilisateurs aux différents outils sélectionnés et ce sont eux qui ont fait le proof of concept.» En clair : l expérience de six utilisateurs, sur deux jours, a piloté le choix de l outil. Et c est une solution Dell Software (anciennement Quest) qui a finalement été retenue. Et tant pis si cela a nécessité le développement d un connecteur Page 10 of 20
spécifique avec Tivoli Identity Manager, l outil de privisioning principal du groupe, avec lequel les systèmes de production ont une «forte adhérence.» A cela se sont ajoutées des briques de gestion des habilitations, de recertification, et une autre de «création de valeur ajoutée pour le correspondant de sécurité logique» pour la gestion du modèle d habilitation «qui lui ne sera plus là pour donner les droits aux personnes mais pour aider le métier à modéliser le profil de ses utilisateurs.» Un apprentissage laborieux Si le projet apparaît essentiel tant sur le plan de la sécurité pure que de la conformité - une entité dont relève Michel Wurtz -, il n a pas été sans difficultés : «on a eu plusieurs échecs», reconnaît le responsable de maîtrise d ouvrage sécurité. Et de relever un premier écueil : «on s y prenait tantôt par l outil informatique» ou par les workflows mais «ça n a jamais vraiment fonctionné; nous avions des problèmes de déploiement.» Pas question d abandonner pour autant ni de chercher à aller trop vite : «on a tout posé et laissé murir pendant environ un an.» Et de construire une équipe spécifique en maîtrise d ouvrage, chargée notamment de la conduite du changement. Et donc, de miser sur les utilisateurs. Fort de son expérience, Michel Wurtz identifie un premier point clé - «facile à dire, pas facile à faire,» reconnaît-il : «bien choisir son pilote.» Et cela veut dire ne pas retenir, selon lui, une entité trop petite car l expérience risque de souffrir d un manque de reconnaissance. Ni une entité trop grande car ce serait trop difficile... «Il n y a pas de recette miracle pour un bon pilote.» Une entité trop mature peut également s avérer problématique, du fait d une confiance trop grande dans le modèle existant. Et «s il n y a rien, c est très chronophage.» Bref, le pilote doit être choisi en fonction de la capacité des utilisateurs à être... «volontaires.» Surtout, il faut trouver les bons sponsors pour le projet. Dans le cas de Natixis, «ce qui ne bouge pas, c est l inspection générale.» Un sponsor stable dans le temps et auquel personne ne peut dire non. Une clé en or. Page 11 of 20
"nous avons adopté une Gilbert Paccoud est responsable sécurité IT du groupe Schneider depuis 3 ans. Trois ans durant lesquels il indique avoir appris une chose : "il faut avoir un profil un peu humble" en matière de sécurité informatique. Dès lors, plutôt que de parler d'avance, il "préfère dire que [Schneider Electric] a adopté une approche proactive pour adresser la menace" en déployant la solution de SIEM [système de gestion des événements et des incidents de sécurité] d'alien Vault pour superviser, en continu, la sécurité de ses infrastructures IT. Un projet lancé en 2009 dans le cadre d'une stratégie plus large, qui intègre la création d'un SOC, centre opérationnel de sécurité, mais également le développement de compétences de test d'intrusion, d'investigation, etc. Et qui reste, selon ses propres termes, "plus un voyage qu'une fin en soi." Chronologie du projet SIEM de Schneider Electric.[/caption] Le lancement de ce projet a été motivé par plus de facteurs. D'une part, le groupe est "leader mondial dans nombreux secteurs, ce qui en fait une cible naturelle ", explique Gilbert Paccoud. En outre, ses activités évoluent vers les mondes de l'it et du logiciel, avec le virage du Smartgrid, mais également l'expansion du groupe dans le domaine des Scadas. Il y a trois ans, "nous avons donc réalisé que notre manque d'anticipation était suffisamment élevé pour que l'on déclenche un programme spécifique." La consolidation de la fonction IT à l'échelle du groupe a simplifié le lancement de la démarche. Le projet de SIEM à proprement parler a démarré mi-2011 et le groupe est actuellement en phase de roll out. Gagner en visibilité sur les menaces actuelles et à venir Vincent Jaussaud, Global Technical Security Officer, explique que ce projet doit en priorité permettre de "détecter ce que l'on ne voyait pas. Nous ne pouvions nous permettre de rester aveugles face à la menace", mais également de générer des rapports de traçabilité et de conformité PCI. En outre, il devait permettre de réduire le coût des investigations. Car ni Gilbert Paccoud ni Vincent Jaussaud ne sont dupes : "des attaques, nous en aurons Page 12 of 20
toujours. Un outil comme celui que nous déployons nous permettra de mieux réagir." Mieux, et plus vite. Telvent n'était pas encore protégé par la solution Alien Vault Mi-septembre, Telvent, devenu filiale de Schneider Electric à l'issue de son acquisition fin 2011, a annoncé avoir été victime d'une intrusion dans son système d'information. Interrogé sur le sujet à l'occasion de l'atelier durant lequel il témoignait sur le déploiement du SIEM d'alien Vault, Gilbert Paccoud nous a indiqué que, "pour le moment, [Telvent est] toujours dans sa configuration IT initiale, c'est à dire pas intégré à l'informatique du groupe." Comprendre qu'ils ne sont donc pas dans le périmètre couvert par la solution Alien Vault. "Bien entendu, comme vous l'avez écrit, nous avons apporté nos compétences dans la gestion de la crise, pour les assister." De son côté, la concomitance de l'annonce d'une offre de sécurité Scada développée avec Industrial Defender ne semble être qu'une coïncidence. Concrètement, Schneider Electric a déployé dans les entités concernées des appliances chargées de superviser le trafic réseau, de récupérer et de normaliser les logs de systèmes identifiés comme clés, avant de les remonter dans les centres de calcul du groupe où les informations sont corrélées pour générer des alertes. Vincent Jaussaud fournit quelques éléments de quantification : "dans un groupe comme Schneider Electric, présent dans 200 pays, ce sont quasiment 100 millions d'événements de sécurité qui sont remontés chaque mois. Après corrélation, ils génèrent une dizaine d'alertes par jour." De quoi se forger une petite idée des apports de la solution : "sur de tels volumes, la surveillance serait impossible sans corrélation." A date, le SOC ne mobilise d'ailleurs qu'un temps plein - chiffre qui devrait doubler une fois la solution totalement déployée. Certains résultats concrets soulèvent l'étonnement : "avec le SIEM, nous avons identifié quasi immédiatement plus de 200 machines en interne infectées par des botnets - mariposa, conficker, etc." Des machines qui étaient par ailleurs protégées par un anti-virus récent doté d'une base de signatures à jour En outre, "nous avons observé des effets de bord intéressants, comme la découverte d'équipements réseaux mal configurés" qui entraînaient une surconsommation de bande passante. Surtout, le SIEM a déjà permis d'identifier des menaces en devenir : "des tentatives d'intrusion ciblant les équipements de voix sur IP, venant souvent de Chine ou de Russie. Les attaquants ne sont pas encore en phase offensive; ils semblent essayer Page 13 of 20
d'établir une cartographie." Une menace nouvelle et préoccupante que Schneider Electric prend très au sérieux. L'attrait de l'open Source Après avoir évalué de nombreuses solutions, Schneider Electric a retenu celle d'alienvault tant pour les modules de détection d'intrusion (IDS) que pour le SIEM : "nous les avons retenus notamment sur le critère d'intégration - un outil, une console." Mais le facteur économique a également joué : "nous avons économisé au moins 30 % sur le coût total du projet", notamment en évitant la multiplication des appliances. L'open source apporte une cerise supplémentaire au gâteau : "l'évolutivité. Ainsi, nous ne sommes pas figés dans un environnement propriétaire." Et les apports de la communauté peuvent profiter rapidement au groupe. Page 14 of 20
défis sociaux du BYOD Le Bring Your Own Device, tendance qui consiste en la prolifération des équipements informatiques personnels dans l environnement professionnel, continue de nourrir les débats des événements liés à la sécurité. C est sans surprise qu un atelier lui était ainsi consacré lors des Rencontres de l identité, des accès et du management de la sécurité (RIAMS), qui se déroulaient la semaine dernière à Saint-Tropez. Hervé Dubillot, responsable de la sécurité des systèmes d information de Danone, part d un constat simple, montrant, s il le fallait encore, que le phénomène s avère incontournable : «le BYOD est surtout apporté par des personnes qui ont un certain pouvoir» et auxquelles, de fait, il s avère impossible de dire «non». Parce que leur dire «non» ne les empêchera pas d essayer à tout prix d utiliser leur smartphone flambant neuf ou leur tablette personnelle à l insu de la DSI. Et même si celle-ci explique au préalable que l utilisateur ne bénéficiera d aucun support, «ils appelleront le support technique et celui-ci ne pourra s interdire de leur répondre, quitte à y passer des jours». Dans l assistance, un participant ironise, évoquant le cas de matériels offerts par les constructeurs : même s il ne s agit pas d un appareil personnel dans la mesure où il n a pas été acheté personnellement, la problématique n est pas différente pour autant. Et il n est question là que de considérations techniques parmi de nombreuses autres : «RH, légales, etc.» Bref, pour les participants, la situation semble claire : «en informatique, il y a des usages, des transformations sociologiques qui s imposent d elles-mêmes et contre lesquelles il ne sert à rien de lutter. [...] Le numérique joue un rôle dans nos vies, dans nos sociétés. On ne peut pas faire comme si cela n existait pas.» Un défi technique et... social Mais embrasser le BYOD n est pas trivial pour autant. Pour Hervé Dubillot, l offre ad hoc - entre solutions de gestion des terminaux mobiles (MDM) ou de contrôle des accès au réseau (NAC) - est désormais vaste. Mais la mise en oeuvre apparaît comme un passage délicat, l occasion d une douloureuse prise de conscience : «on se rend compte que le poste de travail a été négligé pendant des années», qu il souffre d un empilement de technologies Page 15 of 20
pas forcément actualisées - «on retrouve même des traces de Windows NT4 et 2000 parce que le nettoyage nécessaire n a jamais été accompli». Certaines applications métiers ont encore besoin d Internet Explorer 6 ou 7, d'anciennes versions de Java... Dès lors, les coûts cachés liés à la mise à niveau de l existant peuvent être conséquents. Et si la virtualisation du poste de travail peut apparaître comme une solution, elle n a rien d idéal : «le coût est énorme.» Mais Hervé Dubillot relève un autre risque : «l entreprise a l obligation légale de fournir au salarié un outil de travail. En adoptant le BYOD, on crée une discrimination» entre les personnes qui ont des moyens élevés et ceux dont les budgets personnels sont contraints. Quant à fournir une enveloppe pour l achat d une machine, comme certaines entreprises le font outre-atlantique... : «on ne peut pas proposer la même enveloppe au VIP, au chef de service ou à l ouvrier sur la chaîne d assemblage.» Certaines susceptibilités pourraient ne pas l apprécier, est-on tenté de comprendre en filigrane. En outre, certains salariés pourraient être tentés de se sous-équiper pour garder à d autres fins une partie de l enveloppe. Du coup, chez Danone, «on résiste deux ou trois semaines pour gagner du temps et... après, on avance». Accepter la réalité d une sécurité imparfaite Reste que, pour embrasser, encore faut-il se préparer. Bernard Ourghanlian, Directeur technique et sécurité de Microsoft France, dresse la liste des étapes du processus. En tête de liste : la classification du patrimoine numérique de l entreprise et la segmentation des utilisateurs - «deux points fondamentaux», essentiels à une approche pragmatique de la sécurisation et de l ouverture du SI. Une ouverture indispensable car, pour lui, «un système d information qui n est pas ouvert sur le reste du monde ne sert à rien. La logique du château-fort a vécu». Et de donner la mesure de l effort de pragmatisme consenti par Microsoft : «il y a des logiciels malveillants dans notre système d information. On le sait. On essaie de les éradiquer mais c est impossible. Les mathématiques ont montré qu il est impossible de créer un anti-virus parfait. Alors si supprimer la menace est impossible, il faut apprendre à vivre avec.» Ce qu il traduit concrètement par une protection par niveaux des éléments à protéger en fonction de l impact sur l activité de l entreprise. Et très logiquement, «ce qui a un impact élevé sur l activité n a Page 16 of 20
pas le droit de fuiter». Une approche qui a manifestement convaincu Danone qui a opéré une classification par enjeux économiques, avec les métiers : «on ne peut pas classifier à contre-courant des métiers; ça ne fonctionne pas.» Page 17 of 20
C est entre le printemps et la fin de l année 2012 que Scor a déployé la solution ControlMinder de CA Technologies. Une solution de gestion des accès qui doit répondre aux impératifs spécifiques d activités où les données sensibles sont centrales et où la réglementation s avère particulièrement contraignante. En octobre dernier, à l occasion des Assises de la Sécurité, qui se déroulaient à Monaco, Henri Guiheux, RSSI du groupe Scor, expliquait que le réassureur était amené à manipuler «énormément d informations de ses clients potentiellement sensibles», soulignant un «contexte complexe», notamment pour «un groupe de taille modeste». La mise en place d un programme de «protection des données sensibles des clients, de nos données financières et de notre savoir-faire» devait permettre d assurer «clients, régulateurs et actionnaires de la sécurité des processus et des données ainsi que de la traçabilité». Et de souligner qu en tant que réassureur, Scor peut être perçu par ses clients comme un «soustraitant» sur lequel ils doivent propager leurs propres contraintes de sécurité et. Avec une «exigence exacerbée» de la part des clients du monde anglo-saxon. Le tout dans un contexte de «transformation numérique de l entreprise», une transformation qui induit des risques - avec «l augmentation de la fréquence des cyberattaques» - justifiant «la mise en place de contrôles». Contrôler et tracer les activités sensibles Henri Guiheux expliquait ainsi être confronté à une population variée entre utilisateurs, administrateurs et prestataires externes. ControlMinder a été retenu parce qu il «s intégrait bien dans notre référentiel de contrôles» avec, notamment, deux objectifs : «assurer des mécanismes sécurisés pour les accès administrateurs» et «assurer la confidentialité et la traçabilité». Et l outil permet de centraliser la gestion de l ensemble, il supporte aussi «la distribution des politiques au niveau des serveurs, suivant les rôles» des utilisateurs. Il autorise aussi des dérogations, «suivant un processus de validation», pour les accès en urgence hors de la zone de compétence nominale d un utilisateur. Surtout, toutes les activités des administrateurs Page 18 of 20
sont enregistrées - «en vidéo compressée, en noir et blanc». C est le volet traçabilité. La prévention est assurée par les politiques, «ControlMinder interdit certaines actions pour lesquelles on peut remonter des alertes». Une approche pragmatique centrée sur les risques Mais pas question de partir la fleur au fusil et de dépenser sans compter. Henri Guiheux explique avoir mis en place une organisation permettant notamment d éviter l écueil du «combat d experts». La démarche est donc partie du sommet de la hiérarchie, en 2011, tout en impliquant les métiers : «nous avons défini les risques et vu avec chaque division métier les points susceptibles de poser problème pour ensuite élaborer un plan d action et définir les priorités.» C est la mise en place d une structure en hubs qui a permis notamment de récolter les informations, «par exemple sur les contraintes dans différents pays», en intégrant tant les spécificités régionales que métiers. L une des priorités était d identifier les applications qui touchent aux données sensibles : «il est important de partir des processus de base pour aller à la pêche de tous les éléments», soulignait à l automne dernier Henri Guiheux. Pour lui, cette approche partie de la tête «permet de mettre en place de la sécurité qui répond à des besoins, en ligne avec la stratégie du groupe». Et donc d éviter la dispersion et les inefficacités. Page 19 of 20
Des ressources gratuites pour les professionnels IT TechTarget publie des informations techniques ciblées multi-support qui visent à répondre à vos besoins de ressources lorsque vous recherchez les dernières solutions IT, développez de nouvelles stratégies ou encore cherchez à faire des achats rentables. Notre réseau de sites internet experts vous donne accès à du contenu et des analyses de professionnels de l'industrie. Vous y trouverez également la bibliothèque spécialisée en ligne la plus riche : livres blancs, webcasts, podcasts, vidéos, salons virtuels, rapports d'études et bien plus, alimentée par les fournisseurs IT. Toutes ces ressources sont basées sur les recherches R&D des fournisseurs de technologie pour répondre aux tendances du marché, défis et solutions. Nos événements réels et nos séminaires virtuels vous donnent accès à des commentaires et recommandations neutres par des experts sur les problèmes et défis que vous rencontrez quotidiennement. Notre communauté en ligne "IT Knowledge Exchange" (Echange de connaissances IT) vous permet de partager des questionnements et informations de tous les jours avec vos pairs et des experts du secteur. Pourquoi choisir TechTarget? TechTarget est entièrement centré sur l environnement IT de l'entreprise. Notre équipe d'éditeurs et notre réseau d'experts de l'industrie fournissent le contenu le plus riche et pertinent aux professionnels et managers IT. Nous exploitons l'immédiateté du Web, les opportunités de rencontre en face à face, via le networking ou les événements virtuels, et la capacité à interagir avec les pairs. Ceci nous permet de produire une information irréfutable et directement exploitable par les professionnels du secteur dans toutes les industries et sur tous les marchés. Sites Internet du réseau TechTarget Page 20 of 20