Quelles opportunités en sécurité des systèmes d'information? Forum Leonardo Finance 21 septembre 2005 Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>
Hervé Schauer Consultants Société de conseil en sécurité informatique depuis 1989 Prestations intellectuelles en toute indépendance Pas de distribution, ni intégration, ni infogérance, ni régie, ni investisseurs Prestations : conseil, études, audits, tests d'intrusion, formations Domaines d'expertise Sécurité Windows/Unix/embarqué Sécurité des applications Sécurité des réseaux TCP/IP, PABX, réseaux opérateurs, réseaux avionique,... Organisation de la sécurité Etude de nombreux projets ou sociétés en sécurité Les transparents sont disponibles sur www.hsc.fr 2 / 21
Plan 3 / 21 Chiffres Opportunités du marché de la sécurité Edition de supports pédagogiques Services Edition de logiciels Protection du PC ou poste de travail Protection des autres équipements Mobilité et nomadisme HTTP/HTTPS Fusion internet et telecom Gestion des données de la sécurité Autres sujets Conclusion
Chiffres? Les statistiques indiquent toujours et perpétuellement un marché de la sécurité des systèmes d'information en croissance Les statistiques incluent un grand nombre de produits qui ne devraient plus être comptés dans le marché de la sécurité Comment un PC sous Windows peut se passer d'un anti-virus ou d'un firewall personnel? Ces produits sont de la bureautique, ce sont des produits grand public Comment le réseau avec ses routeurs, commutateurs, répartiteurs de charges, etc, peut-il se passer de firewalls? Ces produits sont du réseau et ne sont plus clairement différentiables entre eux Comment un serveur de messagerie internet peut-il se passer d'un anti-virus et d'un logiciel anti-spam? 4 / 21
5 / 21 Chiffres? Ces marchés ne sont plus des marchés de la sécurité Plus différentiables, plus acquis sur des budgets sécurité Ce qui concerne réellement la sécurité n'a pas la croissance que le laisse entendre les chiffres Les budgets propres à la sécurité ne sont pas nécessairement en croissance Seule une réglementation imposée et contrôlée fera croître le marché Pourquoi avez-vous des extincteurs? Parce que la loi l'oblige et l'inspecteur du travail va le vérifier lors de son contrôle et que cela va me coûter une amende et... Pourtant c'est une mesure de sécurité pour réduire les dommages en cas d'incendie
Opportunités Edition de supports pédagogiques Services Editions de logiciels 6 / 21
Edition de supports pédagogiques Sensibilisation à la sécurité Demande du marché Pour le client Supports interactifs qui permettent la vérification de la compréhension par chaque employé Tableau de bord de suivi pour le responsable de la sécurité des systèmes d'information (RSSI) Pour le fournisseur Possibilité de modèle de facturation à l'usage Possibilité de fonctionnement en mode ASP simple Marge envisageable Enseignement à distance de manière plus générale Logiciels de gestion documentaire spécialisés ISO17799/ISO27001 : Callio 7 / 21
Services Externalisation ou infogérance ou tierce-maintenance de la sécurité Demande du marché Opérateurs d'infrastructures et marchés de niches Métiers classiques des SSII et des intégrateurs Marge du service et forte concurrence Services propres au marché de la sécurité Tests de vulnérabilités en mode ASP 8 / 21 Qualys, Vigilante, Intexxia, Intranode Infogérance de firewalls et VPN Netcelo Infogérance d'anti-virus et d'anti-spam Dolphian, Oktey, Twentyfive Technology
Edition de logiciels Rappel du modèle économique Logiciel vendu logiciel loué à l'usage Logiciel à installer logiciel en appliance L'édition de logiciels concentre les opportunités à forte marge Nombreux échecs Logiciels structurants pour le client Logiciels impossible à déployer en production Logiciels imposant un agent sur chaque poste Des opportunités 9 / 21 Protection des PC, mobilité et nomadisme HTTP/HTTPS, Fusion internet et telecom
Protection du PC ou poste de travail Au-delà de l'anti-virus et du firewall personnel Contrôle de l'usage des périphériques amovibles Logiciels espions et malveillants (spyware, malware), renifleurs de clavier (keyloggers), robots La protection du poste de travail demeure une bonne opportunité Inconnue : jusqu'où ira Microsoft dans le système de base Exemple : outils de chiffrement (MSI, PrimX,...) Entrée dans le marché parfois difficile Possibilités de revente ou d'oem (Securewave/Neovalens,...) Safeboot, Skyrecon 10 / 21
Protection des autres équipements Assistants personnels, téléphones portables, voitures,... Chiffrement des données PalmOS, Symbian, WindowsCE,... Virus / vers preuves de concepts Vulnérabilités réelles Modèle économique qui repose plus sur l'opérateur que pour le PC PC embarqués Opportunité peut-être plus coté infrastructure qu'utilisateur final 11 / 21
Mobilité et nomadisme Toujours une difficulté en entreprise Ordinateur portable, assistant personnel, téléphone,... Une organisation, un service de support, des procédures d'alerte, un inventaire temps réel du parc connecté Une authentification de l'employé et une connexion au SI par tunnel chiffré Contrôle d'intégrité et mise en quarantaine avant la reconnexion au réseau d'entreprise Une politique de protection locale du mobile ou nomade lui-même Firewall + anti-virus + anti-spyware +... gérés de manière centralisée Chiffrement des données (indispensable contre le vol) Maintien à niveau des moyens de protection lorsque le nomade est à l'extérieur Opportunités dans la cohérence globale 12 / 21
HTTP/HTTPS Le protocole de base sur Internet est HTTP/HTTPS HTTP et HTTPS sont les protocoles autorisés dans les entreprises avec le DNS par le firewall entre le réseau privé à protéger et l'internet HTTP : protocole du web HTTPS : version chiffrée de HTTP DNS : correspondance entre les noms (www.hsc.fr) et les adesses IP (217.174.211.25) La politique de sécurité appliquée par le firewall IP est contournée par la ré-encapsulation de tous les trafics dans les protocoles HTTP et HTTPS Offre déjà développée pour les firewalls ou proxy protégeant les serveurs web de l'internaute Deny-All, NetsecureOne, Axiliance, Beeware internet firewall http http http http 13 / 21
HTTP/HTTPS Le firewall doit donc filtrer les logiciels de contournement potentiel de sa politique de sécurité par encapsulation dans HTTP/HTTPS Logiciels réencapsulant volontairement Microsoft avec RPC over HTTPS, Outlook 2003, etc VPN-SSL, ssltunnel, stunnel, http-tunnel, etc WebEx, Interwise, MeetingOne Courrielweb (Webmail), systèmes d'edi, XML Logiciels de messagerie instantanée, de messagerie et partage d'agenda : AOL, MSN, Blackberry, etc Logiciels basés sur les Web Services Logiciels poste à poste (P2P:Peer-to-Peer) : Skype Le firewall HTTP demeure une bonne opportunité 14 / 21
HTTP/HTTPS Une forme de firewall HTTPS en sortie est possible Le type de trafic même chiffré peut se reconnaître SSL VPN connection multiplexing techniques http://www.hsc.fr/ressources/presentations/upperside05 fw/ Filtrage d'url Utile à la lutte contre les spywares en entreprise Innovations encore possibles, OEM envisageables Quelques acteurs du firewall : Arkoon, Ipdiva, Netasq, Neotip, Olfeo, Oxyan, Qosmos, Wallix 15 / 21
Fusion télécoms et internet Les télécommunications et l'internet ne font qu'un Le PABX classique est un ordinateur Unix qui interroge l'annuaire d'entreprise La télémaintenance par liaison téléphonique en PPP ne sert qu'à contourner le firewall sur les liaisons IP SAN Le photocopieur est un PC avec scanner/imprimante sur le réseau d'entreprise et télémaintenu par une ligne téléphonique Les liaisons séries des immeubles intelligents passent aussi à IP RS232 devient Telnet sans authentification Les protocoles propriétaires (LonTalk, BACnet) sont ré-encapsulés sur IP Voix sur IP / Téléphonie sur IP / GSM sur IP... Le PABX ou Centrex remplace toutes les strates de firewalls IP Opportunité pour un firewall global télécoms + internet 16 / 21
Gestion des données de sécurité Centralisation et analyse des journaux (SIM) Génération d'alarmes, d'alertes, tableaux de bord Consolidation et archivage Visualisation pour les exploitants Détection d'intrusion (IDS), prévention des intrusions (IPS) Déjà beaucoup d'offres existantes Dont une offre de logiciels libres : Snort, Prelude RTE, Netreport, Infovista, Prelude-IDS, NetsecureOne, Exaprotect, IV2 Repose sur les individus Beaucoup de déception avec les offres de logiciels 17 / 21
18 / 21 Autres sujets Réseaux sans fil : la sécurité est intégrée dans l'infrastructure Ucopia, Wave-storm Voix sur IP / Téléphonie sur IP La sécurité est en cours de normalisation et sera à terme intégrée à l'infrastructure Infratructures à clés publiques, archivage légal, biométrie,... Cecurity, CryptoGram, Dictao, IdealX, Kotio, Lexbox, Safelogic, Scrypto, Sigillum, Trustycom, Xelios Lutte contre le spam Offre liée à la lutte anti-virus + logiciel libre Gestion des droits des oeuvres numériques Autres : Criston, Entelligence, Everbee, Livo
Conclusion Panorama non-exhaustif Rappel : la sécurité n'est qu'un nice to have, jamais un must Toujours un équilibre entre une prise de risque et une réduction du risque Donc sensible à l'économie en général Questions? Herve.Schauer@hsc.fr www.hsc.fr 19 / 21
20 / 21 Prochains rendez-vous Formation sécurité windows : 13-14 octobre, Paris http://www.hsc.fr/services/formations/ Formation BS7799 Lead Auditor : 24-28 octobre, Paris Certifiée par LSTI, en cours d'accréditation COFRAC http://www.hsc.fr/services/formations/ Conférence "ISO17799 et ISO27001 : expériences et perspectives" : 24 novembre, Paris Et trois tutoriels sur la sécurité http://www.hsc.fr/conferences/reed2005_bs7799exp.html.fr Formations SecurityCertified : 13-17 & 27-31 mars 2006 Permettant de passer la certification SCNP http://www.hsc.fr/services/formations/
Ressources Sur www.hsc.fr vous trouverez des présentations sur Infogérance en sécurité Sécurité des réseaux sans-fil Sécurité des SAN Sécurité des bases de données SPAM BS7799 etc Sur www.hsc news.com vous pourrez vous abonner à la newsletter HSC 21 / 21